How can attackers create such perfect copies of legitimate emails?

Attackers obtain legitimate emails through several methods: compromising email accounts to access sent messages, intercepting emails through network vulnerabilities, or using publicly available information from data breaches. Once they have a genuine email, they use simple copy-paste techniques to recreate it exactly, only modifying the embedded links or attachments. Modern email design tools make it trivial to replicate professional email templates with perfect accuracy.

Why don't spam filters catch clone phishing emails?

Clone phishing emails often bypass spam filters because they contain legitimate content, proper formatting, and accurate branding from real organizations. The only malicious element is typically a modified link or attachment, which filters may not detect if the destination website is newly created and not yet blacklisted. Additionally, if the email comes from a compromised legitimate account, it passes authentication checks like SPF and DKIM that filters rely on to identify spoofed messages.

If I clicked a link but didn't enter any information, am I still at risk?

Simply clicking a link in a clone phishing email can still pose risks, though less severe than providing credentials. The malicious website may attempt drive-by downloads of malware, track your IP address and browser information, or use exploits targeting browser vulnerabilities. Immediately run anti-malware scans, clear your browser cache and cookies, and monitor your accounts for unusual activity. Change passwords as a precaution if the link led to a fake login page, even if you didn't submit information.

How quickly do I need to act if I realize I fell for a clone phishing attack?

Act within minutes if possible. Immediately change the password for any account where you entered credentials, starting with your email account since attackers often use compromised email to reset other passwords. Enable multi-factor authentication on all affected accounts. Contact your bank or credit card company if you provided financial information. For work-related incidents, notify your IT security team immediately so they can secure systems and alert other potential targets. The faster you respond, the more you can limit the damage.

Can clone phishing happen with text messages or social media, or just email?

Clone phishing primarily occurs through email because attackers need access to previous communications to create convincing duplicates, which is easier with email interception. However, similar techniques called "smishing" (SMS phishing) can clone text messages from banks or service providers, and social media messages can be duplicated if an attacker compromises an account. The core technique of copying legitimate communications and modifying links works across platforms, though email remains the most common vector due to its widespread business use and technical vulnerabilities.

Высокий Средний ущерб: $2,000 Обычная длительность: 1-3 days

Клонирование фишинга: когда законные письма становятся опасными

Клонирование фишинга — это сложная атака, при которой киберпреступники перехватывают или воссоздают законные письма от доверенных организаций, а затем отправляют почти идентичные копии с вредоносными ссылками или вложениями. В отличие от традиционного фишинга, создающего поддельные письма с нуля, клонирование фишинга использует надежность реальных коммуникаций, которые вы ранее получали или ожидаете получить. Злоумышленники обычно отслеживают трафик электронной почты, дублируют подлинное сообщение от вашего банка, работодателя или поставщика услуг и заменяют законные ссылки вредоносными, ведущими на сайты сбора учетных данных или загрузки вредоноса. По данным Интернет-отчета о преступлениях ФБР за 2023 год, эта техника выросла на 35% в годовом исчислении, со средними убытками в 2000 долларов США на одну жертву. Атака особенно эффективна, потому что клонированное письмо часто приходит вскоре после подлинного, появляется в том же потоке переписки и содержит идентичный брендинг, логотипы и сообщения. Атаки с клонированием фишинга часто нацелены на деловых профессионалов во время обработки счетов-фактур, запросов сброса пароля и уведомлений об обновлении программного обеспечения. Опасность клонирования фишинга заключается в эксплуатации установленных отношений доверия. Когда вы получаете то, что кажется последующим сообщением от вашего ИТ-отдела или второе уведомление от компании кредитной карты, ваша бдительность естественным образом ниже, чем при получении неожиданных коммуникаций. Злоумышленники используют эту психологическую уязвимость, зная, что получатели более склонны щелкать по ссылкам в сообщениях, которые кажутся продолжением законных разговоров. Федеральная торговая комиссия сообщила, что схемы компрометации бизнес-электронной почты, включающие клонирование фишинга, привели к убыткам более 2,7 миллиарда долларов США в 2023 году, что делает это одной из самых дорогостоящих форм киберпреступлений.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Куда сообщить

Распространённые тактики

• Перехват законных писем через скомпрометированные аккаунты электронной почты или атаки типа man-in-the-middle, позволяющие злоумышленникам видеть подлинные коммуникации перед их клонированием с вредоносными модификациями.
• Создание идентичных копий писем от доверенных отправителей, таких как банки, работодатели или поставщики услуг, замена только встроенных ссылок или вложений при сохранении всего остального содержимого, брендинга и форматирования без изменений.
• Синхронизация клонированных писем для прибытия в течение часов или дней после подлинного сообщения, часто с утверждением, что это уточнение, исправление или срочное обновление, требующее немедленного действия.
• Подделка адресов отправителей, чтобы клонированное письмо казалось исходящим от того же законного источника, используя такие методы, как манипуляция отображаемым именем или похожие домены.
• Встраивание вредоносных ссылок, которые перенаправляют на поддельные страницы входа, спроектированные так, чтобы выглядеть идентично законным веб-сайтам, захватывая имена пользователей и пароли, когда жертвы пытаются войти.
• Использование скомпрометированных аккаунтов электронной почты коллег, партнеров или известных контактов для отправки клонированных сообщений, создавая впечатление, что атака исходит из доверенных сетей и повышая достоверность.

Как распознать

Получение дублирующихся или почти дублирующихся писем по одной теме в короткий промежуток времени, особенно если они утверждают, что предыдущее сообщение содержало ошибку или требует срочного действия.
Обнаружение небольших несоответствий в адресах электронной почты отправителя, таких как дополнительные символы, цифры или похожие домены, отличающиеся на одну букву от законного источника.
Выявление того, что ссылки в письме при наведении курсора показывают URL-адреса, которые не соответствуют законному домену организации или перенаправляют через незнакомые сокращенные URL-адреса или IP-адреса.
Обнаружение неожиданной срочности в последующих сообщениях, утверждающих, что ваш аккаунт будет заблокирован, платеж отклонен или требуется немедленная проверка, когда исходная коммуникация не содержала такой срочности.
Наблюдение небольших несоответствий в форматировании, необычных изменений шрифта или небольших изменений в логотипах или подписях, которые не присутствовали в предыдущих законных письмах от того же отправителя.
Получение запросов на сброс пароля, обновлений счетов-фактур или уведомлений об отправке, которые вы не инициировали, особенно если они приходят вскоре после получения похожей законной коммуникации.

Как защитить себя

Проверьте подозрительные письма, связавшись с отправителем через отдельный, независимо полученный канал связи, такой как номер телефона с официального веб-сайта, никогда не используя контактную информацию из сомнительного письма.
Вручную вводите URL-адреса веб-сайтов непосредственно в браузер вместо щелчка по ссылкам в письмах, особенно для банковских, электронной почты и других чувствительных аккаунтов, требующих учетные данные.
Включите двухфакторную аутентификацию на всех критических аккаунтах, включая электронную почту, банковские системы и рабочие системы, что предотвращает доступ злоумышленников к аккаунтам, даже если они получат ваш пароль через клонирование фишинга.
Наведите курсор на все ссылки перед щелчком, чтобы проверить фактический URL-адрес назначения, и будьте подозрительны в отношении любой ссылки, которая не ведет на законный домен организации или использует сокращение URL-адресов.
Внедрите правила фильтрации электронной почты и программное обеспечение безопасности, которое обнаруживает поддельные адреса отправителей, отмечает внешние письма, притворяющиеся внутренними источниками, и предупреждает о письмах с подозрительными характеристиками.
Установите процедуры проверки в вашей организации для финансовых транзакций, изменений счетов-фактур и чувствительных запросов, требующих подтверждения через второй способ коммуникации перед принятием действия.

Реальные примеры

Владелец небольшого бизнеса получил то, что казалось вторым уведомлением от своего поставщика канцелярских принадлежностей об просроченном счете на 1850 долларов США. Письмо было идентично подлинному счету-фактуре, полученному двумя днями ранее, включая одинаковые детали заказа и логотип поставщика. Единственное отличие было в ссылке на "просмотр обновленных деталей платежа", которая вела на поддельный портал платежей. После ввода банковских учетных данных для оплаты злоумышленник опустошил деловой расчетный счет на 12400 долларов США до обнаружения мошенничества.

Сотрудник технологической компании получил клонированное письмо, якобы от своего ИТ-отдела, с просьбой проверить свой аккаунт Microsoft 365 после обновления безопасности. Письмо было точной копией подлинного уведомления ИТ, отправленного по всей компании за три часа до этого. Сотрудник щелкнул по ссылке проверки и ввел свои учетные данные на убедительной поддельной странице входа. В течение 30 минут злоумышленник получил доступ к аккаунту электронной почты сотрудника и отправил запросы на перенаправление платежей клиентам компании, в результате чего было отклонено 47000 долларов США.

Домовладелец получил клонированное письмо, якобы от своего ипотечного обслуживателя, с просьбой подтвердить детали счета условного депонирования. Сообщение пришло на день позже подлинного годового отчета об анализе условного депонирования. Полагая, что это было уточнением для обеспечения точности, домовладелец щелкнул по ссылке и предоставил свои учетные данные онлайн-банкинга. Мошенник использовал эти учетные данные для инициирования денежных переводов на общую сумму 8200 долларов США на заморские аккаунты, прежде чем система обнаружения мошенничества банка отметила подозрительную активность.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), клонирование фишинга: когда законные письма становятся опасными is described at https://scamlens.org/ru/encyclopedia/clone-phishing.

https://scamlens.org/ru/encyclopedia/clone-phishing

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Клонирование фишинга: когда законные письма становятся опасными

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide