Як розпізнати фішинговий лист: розбір реального прикладу та захист акаунтів
Короткий опис: Розбираємо реальний фішинговий лист із підозрілим доменом onmicrosoft.com, SPF fail та PDF-вкладенням. Покажемо, як швидко визначити загрозу та захистити акаунти.
Сучасні фішингові листи виглядають дедалі реалістичніше. Багато користувачів бачать «офіційний» лист, відкривають PDF або переходять за посиланням — і через декілька хвилин втрачають доступ до пошти, банківських сервісів або робочих акаунтів.
У цьому розборі використовується реальний приклад підозрілого листа, де зловмисники надсилали повідомлення з адреси replyorderpay28372284@oleksii392.onmicrosoft.com. У листі було PDF-вкладення та помилки перевірки SPF. Саме такі деталі найчастіше й видають шахраїв.
Коли це потрібно
- На пошту прийшов дивний лист із вкладенням
- Відправник використовує підозрілий домен
- Лист просить терміново відкрити файл або перейти за посиланням
- Є підозра на крадіжку пароля
- Потрібно зрозуміти — лист справжній чи фішинговий
Найшвидший спосіб (1 хвилина)
- Перевірте повну адресу відправника, а не тільки ім’я
- Наведіть курсор на посилання, не відкриваючи його
- Не відкривайте PDF та ZIP-вкладення від невідомих відправників
- Перевірте SPF/DKIM/DMARC, якщо вмієте читати заголовки листа
- Якщо є SPF fail або дивний домен — видаліть лист
Що саме видало фішинговий лист
У реальному прикладі використовувалася адреса:
replyorderpay28372284@oleksii392.onmicrosoft.com
Вже сама адреса виглядає підозріло:
- випадковий набір цифр;
- незрозуміла назва домену;
- використання onmicrosoft.com;
- відсутність зв’язку з реальною компанією.
Крім цього, у заголовках листа була помилка:
Received-SPF: fail
Це означає, що сервер відправника не пройшов перевірку справжності. Дуже часто саме SPF fail вказує на підробку відправника або підозрілу розсилку листів. :contentReference[oaicite:0]{index=0}
Чому PDF-вкладення особливо небезпечні
У листі знаходився файл:
Disney-MLY7KJ922HS.pdf :contentReference[oaicite:1]{index=1}
Сьогодні PDF-файли активно використовуються шахраями для:
- підроблених рахунків;
- фальшивих повідомлень про доставку;
- імітації документів Microsoft або Google;
- приховування шкідливих посилань;
- перенаправлення на фішингові сайти.
Багато користувачів помилково вважають PDF безпечним форматом. Але всередині документа можуть бути:
- кнопки переходу на шкідливі сайти;
- JavaScript;
- фішингові форми авторизації;
- вбудовані посилання для завантаження вірусів.
Основні ознаки фішингового листа
На практиці більшість фішингових листів мають однакові ознаки.
Спосіб 1 — перевірка адреси відправника
- Відкрийте повну інформацію про лист
- Перевірте домен після символу @
- Переконайтеся, що домен належить реальній компанії
- Перевірте наявність випадкових цифр та дивних слів
- Якщо домен виглядає підозріло — не відкривайте лист
Наприклад:
- support-google-security.com — підробка
- paypal-confirm2026.net — підробка
- oleksii392.onmicrosoft.com — підозрілий технічний домен
Спосіб 2 — аналіз SPF, DKIM та DMARC
- Відкрийте заголовки листа
- Знайдіть рядки SPF, DKIM та DMARC
- Перевірте наявність fail, none або neutral
- Якщо SPF fail — лист краще вважати небезпечним
У реальному листі була присутня строка:
Received-SPF: fail :contentReference[oaicite:2]{index=2}
Також використовувався нестандартний DKIM-домен:
oleksii392-onmicrosoft-com.20251104.gappssmtp.com :contentReference[oaicite:3]{index=3}
Для звичайного користувача це може нічого не означати, але для системного адміністратора це вже серйозний сигнал для перевірки листа.
Спосіб 3 — безпечна перевірка вкладень
- Не відкривайте PDF напряму
- Спочатку завантажте файл на VirusTotal
- Перевірте цифровий підпис документа
- Відкрийте файл лише в ізольованому середовищі
- Ніколи не вводьте пароль після відкриття вкладення
Лайфхак: якщо лист нібито прийшов від служби доставки, банку або Microsoft — не відкривайте вкладення взагалі. Краще вручну зайдіть на офіційний сайт сервісу.
Що потрібно заблокувати
Якщо лист уже потрапив у корпоративну мережу або кільком користувачам, рекомендується:
- заблокувати домен onmicrosoft.com відправника;
- заблокувати конкретну адресу відправника;
- додати IP-адресу в антиспам-фільтр;
- заборонити запуск підозрілих PDF;
- перевірити, хто ще отримав лист.
У цьому прикладі підозрілими є:
- replyorderpay28372284@oleksii392.onmicrosoft.com
- oleksii392.onmicrosoft.com
Корисні поради
- Увімкніть двофакторну автентифікацію
- Використовуйте різні паролі для різних сервісів
- Не відкривайте вкладення від невідомих відправників
- Налаштуйте SPF, DKIM та DMARC для свого домену
- Використовуйте сучасні антиспам-фільтри
Поширені помилки
Найчастіша помилка — довіра до зовнішнього вигляду листа. Навіть якщо повідомлення виглядає як Google, Microsoft або банк, це ще не означає, що воно справжнє.
Також користувачі часто:
- перевіряють лише ім’я відправника;
- не дивляться реальну адресу;
- відкривають PDF без перевірки;
- ігнорують SPF fail;
- вводять пароль після переходу за посиланням.
Часті запитання
Чи можна заразитися просто відкривши лист?
Зазвичай ні. Але відкриття вкладення або перехід за посиланням уже може бути небезпечним.
Чому шахраї використовують onmicrosoft.com?
Тому що Microsoft 365 дозволяє швидко створювати технічні домени, які візуально виглядають більш довірено.
Чи небезпечно відкривати PDF?
Так. PDF може містити шкідливі посилання, скрипти та фішингові елементи.
Що робити якщо вже ввів пароль?
Негайно змінити пароль, завершити всі активні сесії та увімкнути двофакторний захист.
Висновок
Найкращий спосіб захисту від фішингових листів — перевірка адреси відправника, SPF/DKIM та обережність із вкладеннями. У цьому прикладі лист видали одразу кілька факторів: підозрілий домен, SPF fail та PDF-вкладення з дивною назвою. Якщо діяти уважно, більшість подібних атак можна зупинити за декілька секунд.
Читайте також
Закладки
Якщо вам була корисна ця стаття, додайте наш IT блог
про інтернет-безпеку та захист Windows
у закладки.
