В современном мире, где киберугрозы становятся все изощреннее, важно понимать, как именно злоумышленники используют образы официальных структур для внедрения вредоносных программ. Особенно тревожит, что по статистике 2024 года, по данным Positive Technologies, фишинговые письма с вредоносными вложениями занимают лидирующую позицию — 43% всех инцидентов в корпоративных и домашних сетях России. И среди скриптов, подложенных в этих письмах, — особое место занимают те, что имитируют уведомления налоговых органов, Пенсионного фонда и других государственных структур.

Обман с помощью фишинга: как это работает

Злоумышленники прекрасно знают: большинство пользователей, получая письмо, начинают автоматически доверять, особенно если в нем используется логика «экстренной ситуации». Например, письмо, имитирующее уведомление ФНС или ПФР, содержит вложение с расширением .docx, .xlsx или даже .iso, внутри которого находится вредоносный код. Не редкость — файлы с названиями вроде «уведомление_налоговой_2024.docx» или «пенсионное_уведомление_ПФР_обновление.xlsx». Какие шаги происходят, когда пользователь, не задумываясь, открывает такое вложение?

Шаг 1: запуск загрузчика (dropper)

Сначала — запускается зловредный макрос или скрипт, встроенный в документ. В случае с файлом .docx или .xlsx — это макрос, который активируется при включении «редактирования» или «макросов». Само по себе открытие файла — не опасное действие, если не включать данные функции. Однако злоумышленники тщательно маскируют это: в письмах часто используют кнопки «Включить редактирование» или «Разрешить контент», чтобы активизировать макросы. В результате запускается dropper, или «загрузчик», — kecil-программа, задача которой — скачать и запустить вредоносное ПО.

Шаг 2: загрузка и установка malware

После запуска загрузчика на компьютере начинают работать различные компоненты — чаще всего это стилеры, такие как RedLine или Raccoon. Эти программы собирают максимум конфиденциальных данных за 90–120 секунд: пароли из браузеров Chrome, Firefox, Opera, параметры криптокошельков (например, Яндекс.Деньги, Qiwi), содержимое папки «Документы», скриншоты, встроенные куки и сессионные ключи.

Шаг 3: передача собранных данных на C2-сервер

Все собранные данные отправляются на командный сервер злоумышленников (C2), где они используются для дальнейших атак — угона аккаунтов, шантажа или кражи средств. В российских условиях — это может быть, например, попытка украсть деньги через интеграцию с российскими криптообменниками или банковскими системами.

Как отличить вредоносное письмо от настоящего

Рассмотрим ключевые признаки, которые должны насторожить вас при получении письма из налоговой, Пенсионного фонда или другого госоргана:

• Отправитель: адрес не совпадает с официальным доменом nalog.gov.ru. Обычно — это почта вида nalog.gov.ru@mail.ru, nalog_claims@fakesite.ru
• Вложение: требует «включить редактирование» или «включить макросы» — это классический красный флаг
• Форма обращения: часто используют боты или автоматические генераторы, с ошибками или необычной лексикой
• Содержание: срочные требования, угрозы блокировкой, требования платежа — всё это признак мошенничества

Что делать, чтобы защититься

Лучшие практики защиты — это не только интуитивное ощущение, но и строгие настройки системы:

1. Отключите автоматическое выполнение макросов: в Office — «Файл — Параметры — Центр управления безопасностью — Параметры макросов» — выберите «Отключить все макросы без уведомлений».
2. Используйте режим Protected View: он позволяет безопасно просматривать и анализировать файлы, не активируя макросы.
3. Не открывайте вложения от неизвестных отправителей: даже если письмо кажется очень убедительным.
4. Проверяйте файлы онлайн: с помощью VirusTotal — загрузите файл на сайт https://www.virustotal.com, и он проверит его на наличие угроз без запуска на вашей системе.
5. Обратите внимание на URL-адрес в письме и при переходе по ссылкам: часто мошенники используют домены, похожие на настоящие, но с небольшими отличиями.

Что говорит официальная позиция налоговой службы

Налоговая служба РФ никогда не присылает требования или уведомления вложениями. Все важные сообщения доступны только через личный кабинет на сайте nalog.ru. Если вам пришло письмо с требованием оплаты или подтверждения данных — это 100% фишинг. Не поддавайтесь панике, лучше проверяйте через официальный сайт или приложите файл к антивирусному сканеру.

Как себя вести, если вы подозреваете вредоносное вложение

Если вы случайно открыли файл и заподозрили, что в нем скрыт вредоносный код, — выполните такие действия:

• Немедленно отключите интернет и отключите все сетевые устройства — это замедлит или остановит передачу данных.
• Запустите полноценный антивирусный сканер — например, «Касперский», «Dr.Web» или «Лаборатория Касперского» — они обладают функцией обнаружения и удаления вредоносных программ.
• Обратитесь к специалистам или пообещайте себе «не трогать» подозрительный файл, пока его не проверит эксперт.
• Обновляйте системы и антивирусы регулярно, чтобы не догнать новых вредоносных программ.

Подытожим: что важно помнить

Зловредные письма — это не просто шум или временные атаки. Это — серьезная угроза вашей личной, семейной и корпоративной безопасности. В 2025 году злоумышленники совершенствуют свои методы, делая фишинг всё более обманчивым. Поэтому важно быть внимательными, не торопиться с открытием вложений, учиться замечать признаки мошенничества и регулярно обновлять защитные средства.

Самое главное — никогда не доверяйте письмам с требованием срочных платежей или личных данных без подтверждения через официальные каналы. А если возникнут сомнения — лучше перепроверить, чем потерять деньги или персональные данные. В конце концов, ваше спокойствие и безопасность — самая ценная ценность.

А как вы обычно проверяете подозрительные письма? Есть ли у вас проверенные методы или советы, которыми готовы поделиться с другими читателями?

Заключение

Мир цифровых угроз не стоит на месте, и злоумышленники постоянно ищут новые уязвимости. Тщательная внимательность, правильные настройки и регулярная проверка файлов — вот ваши лучшие союзники в борьбе за безопасность. Помните: чуть больше бдительности — и ваши данные останутся в безопасности. Не позволяйте мошенникам превращать ваше спокойствие в хаос.