«Многие думают, что фишинг, это скучные письма о блокировке счёта. Но самый эффективный фишинг сегодня, это сообщения о посылках и доставках. Это работает почти всегда, потому что наш мозг отключает осторожность, когда ждёт что-то реальное. Я проверил это на практике» .
Почему ссылки от «служб доставки» так опасны
Большинство фишинговых атак полагается на страх или жадность. Сообщение о блокировке карты или выигрыше приза заставляет человека действовать импульсивно, но и вызывает внутреннюю тревогу. С фишингом от имени доставки всё иначе.
Здесь срабатывает не страх, а ожидание. Вы действительно ждёте заказ из интернет-магазина, запчасть для машины или документы. Мошенники не просто угадывают — они используют слитые базы данных реальных заказов или массово рассылают сообщения в периоды, когда люди чаще всего что-то заказывают. Имя, адрес, трек-номер — всё это делает письмо неотличимым от настоящего уведомления.
В сознании человека происходит «оправдание» сообщения. Если пришло СМС о посылке, а вы действительно её ждёте, вы не проверяете отправителя, а сразу кликаете по ссылке «уточнить детали доставки» или «подтвердить адрес». Именно этот микромомент — отключение критического мышления — и есть цель злоумышленников.
Что происходит, когда вы переходите по ссылке: техническая сторона
Нажатие на такую ссылку запускает цепочку событий, от простой до крайне опасной. Механика может различаться в зависимости от целей атаки и уровня подготовки её авторов.
Сценарий 1: Фишинговая страница для сбора данных Это самый распространённый вариант. Ссылка ведёт не на официальный сайт, а на его тщательно сделанную копию. Дизайн, логотипы, форма входа — всё выглядит идентично. Чаще всего требуется «авторизоваться» или «подтвердить адрес», введя данные своей банковской карты для «оплаты незначительного почтового сбора». Введённые данные — номер карты, срок действия, CVV-код, а иногда и коды из СМС — мгновенно отправляются злоумышленникам. За считанные минуты с карты могут списать все деньги.
Сценарий 2: Установка вредоносного ПО Ссылка может вести на страницу, которая эксплуативает уязвимости в вашем браузере или операционной системе. Часто используется тактика «drive-by download»: для заражения достаточно просто открыть страницу, без нажатия на кнопки. В фоновом режиме на устройство загружается и устанавливается вредоносная программа. Это может быть:
- Кейлоггер: программа, записывающая все ваши нажатия клавиш (пароли, сообщения, данные карт).
- Троян-шифровальщик (Ransomware): программа, которая шифрует все файлы на компьютере и требует выкуп за ключ дешифрования.
- Бот: программа, которая встраивает ваше устройство в бот-сеть для рассылки спама или атак на другие ресурсы.
Сценарий 3: Подписка на платные услуги Вы переходите по ссылке, и вас перенаправляют на легальную, но мошенническую страницу с «выгодным предложением». Часто это происходит через несколько редиректов, чтобы скрыть источник. Мелким шрифтом указано, что, нажимая кнопку «Подтвердить адрес», вы соглашаетесь на еженедельную или ежемесячную платную подписку. Деньги незаметно списываются с баланса телефона или привязанной карты.
Эксперимент: как это выглядит изнутри
Чтобы понять масштаб проблемы, достаточно попробовать создать подобную атаку в контролируемой среде. Инструменты для этого общедоступны. За несколько часов можно развернуть фишинг-симулятор, который будет отправлять «уведомления о доставке» и собирать статистику переходов. Такой эксперимент наглядно показывает:
- Простота подделки: создать правдоподобную копию сайта известной службы доставки можно с помощью готовых шаблонов или даже простых конструкторов сайтов.
- Уязвимость психологии: даже технически подкованные люди, будучи предупреждёнными об эксперименте, в момент ожидания реальной посыки нажимают на ссылку. Их мозг ищет подтверждение, а не угрозу.
- Сложность фильтрации: современные почтовые фильтры и антивирусы не всегда могут отличить такую подделку, особенно если используется грамотный социальный инжиниринг и домен, похожий на настоящий (например,
cdеk.ruс кириллической «е» вместо латинской ‘e’).
Как себя обезопасить: практические правила
Осведомлённость — главный щит. Эти правила должны войти в привычку.
Правило 1: Не кликайте по ссылкам в неожиданных сообщениях. Даже если вы ждёте посылку. Откройте приложение или официальный сайт службы доставки напрямую, через поиск или сохранённую закладку, и проверьте статус там, введя трек-номер вручную.
Правило 2: Проверяйте адрес отправителя и ссылки. Внимательно изучите адрес электронной почты или номер, с которого пришло СМС. Официальные службы рассылают сообщения с коротких фирменных номеров или почтовых доменов. Наведите курсор на ссылку (не нажимая!), чтобы увидеть её настоящий адрес в углу браузера. Остерегайтесь странных доменных зон, опечаток и подмены символов.
Правило 3: Ищите грамматические ошибки и признаки спешки. Профессиональные компании не рассылают сообщения с орфографическими ошибками, странными формулировками или требованием срочно что-то сделать.
Правило 4: Никогда не вводите платёжные данные для «получения» или «подтверждения» посылки. Службы доставки берут оплату при вручении или через сервис отправителя. Они никогда не запрашивают данные карты по СМС или через сомнительные ссылки.
Правило 5: Используйте двухфакторную аутентификацию (2FA) для важных аккаунтов. Даже если мошенники каким-то образом получат ваш логин и пароль, без одноразового кода из приложения-аутентификатора они не смогут войти.
Что делать, если вы всё же перешли по ссылке?
Главное — не паниковать и действовать последовательно.
- Немедленно отключите устройство от интернета. Если это компьютер — выдерните кабель или отключите Wi-Fi. Если телефон — переведите в авиарежим. Это остановит возможную передачу украденных данных или загрузку дополнительных компонентов вредоносной программы.
- Ничего не вводите на открывшейся странице. Закройте вкладку браузера.
- Запустите полную проверку антивирусом. Используйте антивирусное ПО, желательно загрузив его свежие базы на другом устройстве. Проверьте все файлы и процессы.
- Если вводили данные карты — заблокируйте её. Позвоните в банк по номеру с обратной стороны карты (не по номеру из подозрительного сообщения!) и сообщите о возможном мошенничестве. Закажите перевыпуск карты.
- Смените пароли для важных сервисов (почта, банк, соцсети) с другого, заведомо чистого устройства.
Фишинг от имени служб доставки, это не абстрактная угроза, а ежедневная реальность. Его сила в идеальном попадании в наш бытовой контекст и в ослаблении естественной осторожности. Знание механики таких атак и выработка простых, но строгих правил цифровой гигиены — единственный надёжный способ не стать их следующей жертвой.