Недавно в нашей организации произошёл интересный и поучительный инцидент — один из сотрудников получил письмо якобы от налоговой службы, в котором утверждалось, что в отношении нашей компании выявлены признаки теневой занятости, и нужно срочно предоставить документы. Письмо выглядело достаточно убедительно, чтобы вызвать беспокойство.

Вот что было внутри:

Отправитель: почта_пользователя@mail.ru

Тема письма: Требование по документации

Содержимое: Обширный текст с упоминаниями “Межведомственной комиссии”, “ФНС”, “Минтруда”, закона №565-ФЗ и постановления №571.

Приложение: PDF-файл с описанием “проблемы”, требованием отправить документы и QR-кодом для “получения оригиналов” через CDEK.

Почему это фишинг?

Несмотря на внешний антураж и грамотную стилистику, письмо оказалось поддельным. Вот признаки:

1. Поддельный адрес отправителя: письмо пришло с ящика на mail.ru — этого уже достаточно, чтобы исключить его из числа официальных.
2. QR-код ведёт на фейковый сайт: при сканировании QR-кода открывается адрес https://cdek.ru-832.pro/pay265221514 — это не имеет ничего общего с официальным сайтом службы доставки CDEK (https://cdek.ru).
3. Манипуляции страхом: письмо давит на эмоции, угрожает проверками, штрафами и блокировками, чтобы получатель не рассматривал критически содержание, а сразу действовал.
4. Подмена государственной структуры: в письме путаются полномочия ФНС, Минтруда, несуществующей «Межведомственной комиссии» и неизвестной формы РФМ_СК 17.0377.

Самое интересное

Сотрудник, получивший письмо, не стал сразу сканировать qr код. Он запросил у службы безопасности официальное подтверждение, что письмо поддельное — опасаясь, что если проигнорирует настоящее письмо, могут быть последствия. Это и правильно, и тревожно одновременно: человек повёл себя осторожно, но сам факт, что письмо могло сработать — уже сигнал.

Выводы и рекомендации

• Даже грамотные и ответственные сотрудники могут быть введены в заблуждение. Фишинг всё чаще выглядит профессионально.
• Важно обучать команду критическому мышлению в IT и предоставлять им каналы для быстрой проверки сомнительной информации.
• Для ИБ-службы полезно заранее подготовить шаблоны официальных ответов на такие запросы — это экономит время и снижает уровень тревоги.

Если вы получили похожее письмо — не переходите по ссылкам и не сканируйте QR-коды. Проверяйте адрес отправителя, ссылки, и всегда консультируйтесь с IT-отделом или ИБ.