Проблема: Сотрудник вводит корпоративные учетные данные на мошенническом сайте, копирующем интерфейс легитимного HR-портала (ADFS, SAP, 1С:ЗУП и т.д.). Результат — компрометация учетной записи, lateral movement в инфраструктуру.

Причины:
1. Отсутствие технической верификации домена/сертификата со стороны сотрудника.
2. Использование похожих доменов (IDN homograph attack / typosquatting): `company-hr.ru` vs `coмpany-hr.ru` (буква «м» — кириллица).
3. Отсутствие у пользователя навыков проверки SSL/TLS (самоподписанный сертификат, истекающий, неправильный CN/SAN).
4. Доверие к письму с фишинговой ссылкой (подмена адреса отправителя через SPF/DKIM/DMARC).

Решение:
1. Проверка SSL-сертификата вручную:
- Щелкнуть на значок замка → «Сведения о сертификате».
- Убедиться, что CN (Common Name) совпадает с доменом в адресной строке.
- Проверить, что сертификат выпущен доверенным ЦС (не StartCom/Let’s Encrypt для корпоративных порталов — обычно внутренний CA).
- Дата окончания — не более 1 года назад.

2. Анализ URL:
- Сравнить полный домен (с поддоменами) с официальным. Пример: `portal.company.com` vs `portal.company.com.evil.ru`.
- Использовать `curl -v https://portal.contoso.com 2>&1 | grep "subject"` для извлечения CN сертификата.
- Применить утилиту `sslscan` для проверки цепочки сертификатов: `sslscan --no-colour portal.contoso.com`.

3. Проверка через OSINT:
- Whois: `whois suspicious-domain.ru` — если зарегистрирован недавно (