Утром открываете почту. Новое письмо.
Отправитель — ваш собственный адрес. Тот самый, с которого вы пишете коллегам и родственникам.
Тема: «Я знаю ваш пароль».
Текст: мошенник утверждает, что взломал вашу почту и компьютер. Несколько месяцев наблюдал. Записал видео через вашу же камеру. Если не переведёте биткоины в течение 72 часов — разошлёт всем из вашего списка контактов.
Письмо действительно пришло с вашего адреса. Вы это видите своими глазами.
Паника. Как он попал в почту? Как вообще такое возможно?
Никак. Почту не взламывали. Видео нет. Пароль мошенник не знает.
Он просто подделал адрес отправителя. Это занимает минуту.
Почему это технически возможно
Электронная почта работает по протоколу, созданному в 1982 году. Тогда интернет был академической сетью из нескольких сотен узлов. Безопасность не закладывалась — все друг другу доверяли.
Протокол SMTP до сих пор позволяет указать в поле «От кого» любой адрес. Любой. Без проверки, действительно ли письмо отправлено именно с этого ящика.
Это как написать на обычном конверте чужой обратный адрес. Почта доставит — и получатель увидит чужое имя как отправителя.
Технически это называется email spoofing — подмена отправителя. Никакого взлома. Никакого доступа к вашей почте. Просто использование уязвимости, которой больше сорока лет.
Три вида подмены
Первый — подмена отображаемого имени. В поле «От» написано «Сбербанк Безопасность», но реальный адрес — случайный набор символов. Видно только если развернуть заголовок письма.
Второй — подмена самого адреса. В поле «От» стоит ваш собственный адрес или адрес известной организации. Именно это вызывает наибольшую панику — человек видит свой адрес как отправителя и теряется.
Третий — похожий домен. Адрес выглядит почти идентично: sberbank.ru заменяют на sberb4nk.ru или sbеrbank.ru с кириллической «е». На быстрый взгляд не отличить.
Схема с шантажом
Самая распространённая схема с подменой адреса — сексторшн. Буквально «сексуальное вымогательство».
Письмо приходит с вашего собственного адреса. Мошенник пишет, что взломал вашу почту и получил доступ к компьютеру. Якобы несколько месяцев вёл наблюдение. Записал видео с веб-камеры в пикантный момент. Угрожает разослать всем контактам.
Требование — биткоины. Обычно от 500 до 2000 долларов. Срок — 72 часа. «После оплаты всё удалю».
Письмо пришло с вашего адреса — это создаёт иллюзию, что доступ действительно получен. Человек пугается и иногда платит.
На самом деле никакого взлома нет. Никакого видео нет. Мошенник просто подделал адрес отправителя и разослал одинаковые письма по миллионам адресов из утечек баз данных. Кто-то среагирует — и этого достаточно.
Схема с подменой реквизитов
Более опасный вариант — для бизнеса.
Мошенник изучает компанию. Находит имена директора и финансового директора. Регистрирует домен, отличающийся одной буквой от официального.
Финансовому директору приходит письмо: от имени генерального, привычный стиль, привычная подпись. Тема — срочный платёж по новому договору. Счёт прилагается. Реквизиты — мошеннические.
Финдир торопится, не смотрит на домен — переводит деньги.
Европейский химический холдинг Orion потерял таким образом 60 миллионов долларов. Сингапурская торговая компания — 41 миллион. Это не исключения — это типичные случаи из открытых отчётов.
Как проверить за 30 секунд
Если пришло письмо от вашего собственного адреса — откройте его заголовки. В Gmail: три точки → «Показать оригинал». В Яндекс.Почте: «Свойства письма».
Там будет строка Return-Path или Received: from. Это реальный сервер, с которого пришло письмо. Если он не совпадает с вашим почтовым провайдером — письмо поддельное.
Более простой способ: если вы получили письмо «от себя», но сами его не отправляли — оно поддельное. Всегда. Ваша почта не отправляет письма без вашего участия.
Как защититься
Первое. Если получили шантажное письмо — не платите. Никогда. Это массовая рассылка, мошенник не знает про вас ничего конкретного.
Второе. Проверьте, есть ли ваш адрес в утечках баз данных. Сайт haveibeenpwned.com — вводите адрес и видите, из каких утечек он попал в открытый доступ. Если есть — смените пароли на всех важных сервисах.
Третье. Для бизнеса: настройте SPF, DKIM и DMARC записи для своего домена. Это технические настройки DNS, которые не позволяют другим отправлять письма от вашего имени. Системный администратор сделает за час.
Четвёртое. Любое письмо с просьбой срочно перевести деньги — звоните отправителю напрямую по известному вам номеру. Не по тому, что в письме. Уточните лично.
Получали такие письма «от себя»? Как отреагировали? Напишите в комментариях — и предупредите тех, кто может испугаться.