В последние недели в сети Internet набирает обороты мошенническая кампания по распространению фишинговых писем с целью получения злоумышленниками доступа к учетной записи Google. Злоумышленники рассылают электронные письма якобы от имени Google, в которых предупреждают о попытках взлома учетной записи и настойчиво рекомендуют сменить пароль.

Специалисты команды InformNapalm также столкнулись с подобными письмами. Так как непрофессионалу бывает трудно отличить настоящее письмо от поддельного, мы хотели бы дать несколько советов, которые помогут не попасться на удочку к мошенникам.

Итак, если вам пришло письмо от Google с говорящей темой «Заблоковано підозрілий вхід»,  «Ви повинні негайно змінити пароль» или что-то в этом духе с предложением изменить пароль, включить двухэтапную аутентификацию или вообще что-то изменить в настройках учётной записи, не спешите переходить по ссылкам. Сначала убедитесь, что письмо пришло действительно от Google.

Внимательность и трезвый ум прежде всего! Злоумышленники делают ставку на то, что жертва, увидев письмо, в котором идёт речь о безопасности её учётной записи, сразу же перейдёт по ссылке в письме, ничего не проверяя. Если жертва так и поступит, то с большой вероятностью имя и пароль от учётной записи утекут к злоумышленникам, которые получат к ней полный доступ.

Так на что же следует обратить внимание?

1. Язык письма. Google присылает письма, касающиеся учётной записи, на языке интерфейса этой записи. То есть если у вас интерфейс на украинском языке, а письмо пришло на русском, это серьёзный повод задуматься.

2. Отправитель письма. Все письма, касающиеся учетной записи Google, приходят с адреса no-reply@accounts.google.com и только с него — никаких report.suspicious.activity@gmail.com, no-reply@support.googlemail.com и т.д.

3. Прежде чем переходить по ссылке в письме, обратите внимание на адрес перехода. Наведите курсор на кнопку и посмотрите на строку состояния браузера: там отобразится адрес.

Например, если ссылка имеет вид bit.ly/19rlfnn, то переходить по ней не стоит: ссылка должна явно начинаться на https://accounts.google.com/.

Ссылка вида bit.ly/1DGh42f#https://accounts.google.com/EditPasswd?continuehttps://myaccount.google.com/settings/&followuphttps://myaccount.google.com/settings — мошенническая, так как начинается на bit.ly.

Ссылка вида accounts.google.com.mediscience.pe/EditPasswd также мошенническая, так как адрес должен начинаться на accounts.google.com/ (то есть после .com должен идти /, а не точка).

4. Если вы перешли по ссылке, то прежде чем вводить пароль, обратите внимание на адрес в адресной строке браузера. Если адрес не начинается с https://accounts.google.com, не вздумайте вводить пароль — таким образом вы своими руками отдадите контроль над своей учётной записью злоумышленнику.

На скриншоте ниже видно, что адрес начинается на account.password-google.com — следовательно, это мошеннический домен (успешно заблокирован специалистами команды InformNapalm).

Еще один пример мошеннического домена — accounts.googlesetting.com (в процессе блокировки):

Повторим еще раз: пароль можно вводить только в том случае, если установлено безопасное соединение (рядом с адресом в адресной строке должен быть закрытый замочек) и адрес начинается на https://accounts.google.com.

5. Для продвинутых пользователей: обратите внимание на исходный текст письма:

На скриншоте приведено фишинговое письмо с кратким (но не претендующим на полноту) анализом нестыковок:

Если вам всё-таки пришло фишинговое письмо, то лучшее, что вы можете сделать, это сообщить о нём Google:

Подводя итог: спокойствие и внимательность превыше всего — от этого зависит безопасность вашей учетной записи и сохранность ваших данных.

* Проверено редактором.