Как распознать фишинговое письмо: разбор реального примера и защита аккаунтов
Краткое описание: Разбираем реальное фишинговое письмо с подозрительным доменом onmicrosoft.com, SPF fail и PDF-вложением. Покажем, как быстро определить угрозу и защитить свои аккаунты.
Современные фишинговые письма выглядят всё более реалистично. Многие пользователи получают «официальное» письмо, открывают PDF или переходят по ссылке — и уже через несколько минут теряют доступ к почте, банковским сервисам или рабочим аккаунтам.
В этом примере злоумышленники отправили сообщение с адреса replyorderpay28372284@oleksii392.onmicrosoft.com. В письме находилось PDF-вложение и присутствовали ошибки SPF-проверки. Именно такие детали чаще всего и выдают мошенников.
Когда это особенно важно
- На почту пришло странное письмо с вложением
- Отправитель использует подозрительный домен
- Письмо требует срочно открыть файл или перейти по ссылке
- Есть подозрение на попытку кражи пароля
- Нужно понять — письмо настоящее или поддельное
Самый быстрый способ (1 минута)
- Проверьте полный адрес отправителя, а не только имя
- Наведите курсор на ссылку, не открывая её
- Не открывайте PDF и ZIP-вложения от неизвестных отправителей
- Проверьте SPF/DKIM/DMARC, если умеете читать заголовки письма
- Если видите SPF fail или подозрительный домен — удалите письмо
Что именно выдало фишинговое письмо
В анализируемом примере использовался адрес:
replyorderpay28372284@oleksii392.onmicrosoft.com
Уже сам адрес выглядит подозрительно:
- случайный набор цифр;
- непонятное имя домена;
- использование onmicrosoft.com;
- отсутствие связи с реальной компанией.
Кроме этого, в заголовках письма присутствовала ошибка:
Received-SPF: fail
Это означает, что сервер отправителя не прошёл SPF-проверку. Очень часто именно SPF fail указывает на подделку отправителя или фишинговую рассылку. :contentReference[oaicite:0]{index=0}
Почему PDF-вложения особенно опасны
В письме находился файл:
Disney-MLY7KJ922HS.pdf :contentReference[oaicite:1]{index=1}
Сегодня PDF-файлы активно используются мошенниками для:
- поддельных счетов;
- фальшивых уведомлений о доставке;
- имитации документов Microsoft или Google;
- скрытия вредоносных ссылок;
- перенаправления на фишинговые сайты.
Многие пользователи ошибочно считают PDF безопасным форматом. Но внутри документа могут находиться:
- кнопки перехода на вредоносные сайты;
- JavaScript;
- фишинговые формы авторизации;
- встроенные ссылки на загрузку вирусов.
Основные признаки фишингового письма
Большинство фишинговых писем имеют похожие признаки и сценарии атаки.
Способ 1 — проверка адреса отправителя
- Откройте полную информацию о письме
- Проверьте домен после символа @
- Убедитесь, что домен принадлежит реальной компании
- Обратите внимание на случайные цифры и странные слова
- Если домен выглядит подозрительно — не открывайте письмо
Примеры:
- support-google-security.com — подделка
- paypal-confirm2026.net — фишинг
- oleksii392.onmicrosoft.com — подозрительный технический домен
Способ 2 — анализ SPF, DKIM и DMARC
- Откройте заголовки письма
- Найдите строки SPF, DKIM и DMARC
- Проверьте наличие fail, none или neutral
- Если SPF показывает fail — письмо лучше считать опасным
В реальном примере присутствовала строка:
Received-SPF: fail :contentReference[oaicite:2]{index=2}
Также использовался нестандартный DKIM-домен:
oleksii392-onmicrosoft-com.20251104.gappssmtp.com :contentReference[oaicite:3]{index=3}
Для обычного пользователя это может выглядеть нормально, но системный администратор сразу обратит внимание на такую аномалию.
Способ 3 — безопасная проверка вложений
- Не открывайте PDF напрямую
- Сначала загрузите файл на VirusTotal
- Проверьте цифровую подпись документа
- Открывайте вложения только в изолированной среде
- Никогда не вводите пароль после открытия файла
Полезный лайфхак: если письмо якобы пришло от Microsoft, банка или службы доставки — не открывайте вложение вообще. Лучше вручную зайдите на официальный сайт сервиса.
Что рекомендуется заблокировать
Если письмо попало в корпоративную сеть или нескольким пользователям, рекомендуется:
- заблокировать домен onmicrosoft.com отправителя;
- заблокировать конкретный email-адрес;
- добавить IP-адрес в антиспам-фильтр;
- запретить запуск подозрительных PDF;
- проверить, кто ещё получил письмо.
В данном случае подозрительными являются:
- replyorderpay28372284@oleksii392.onmicrosoft.com
- oleksii392.onmicrosoft.com
Полезные советы
- Включите двухфакторную аутентификацию
- Используйте разные пароли для разных сервисов
- Не открывайте вложения от неизвестных отправителей
- Настройте SPF, DKIM и DMARC для своего домена
- Используйте современные антиспам-фильтры
Распространённые ошибки
Самая частая ошибка — доверие внешнему виду письма. Даже если сообщение выглядит как Google, Microsoft или банк, это ещё не значит, что оно настоящее.
Пользователи также часто:
- проверяют только имя отправителя;
- не смотрят реальный email-адрес;
- открывают PDF без проверки;
- игнорируют SPF fail;
- вводят пароль после перехода по ссылке.
Часто задаваемые вопросы
Можно ли заразиться просто открыв письмо?
Обычно нет. Но открытие вложения или переход по ссылке уже может быть опасным.
Почему мошенники используют onmicrosoft.com?
Потому что Microsoft 365 позволяет быстро создавать технические домены, которые выглядят более доверенно.
Опасно ли открывать PDF?
Да. PDF может содержать вредоносные ссылки, скрипты и элементы фишинга.
Что делать если уже ввёл пароль?
Немедленно сменить пароль, завершить все активные сессии и включить двухфакторную защиту.
Вывод
Лучший способ защиты от фишинговых писем — внимательно проверять адрес отправителя, SPF/DKIM и быть осторожным с вложениями. В этом примере письмо выдали сразу несколько факторов: подозрительный домен, SPF fail и странное PDF-вложение. Несколько секунд проверки могут спасти аккаунты и данные от взлома.
Читайте также
Закладки
Если эта статья была полезной, добавьте наш IT блог
про интернет-безопасность и защиту Windows
в закладки.
