Проблема: Атакующий имитирует легитимные уведомления (банки, госуслуги, соцсети) для кражи учётных данных, сессионных cookie или установки ВПО. Методы: спуфинг домена, подмена заголовков письма, мультифакторный фишинг (MFA fatigue). Жертва переходит по ссылке, вводит данные или запускает макрос.

Причины:
1. Отсутствие строгой проверки источника: SPF, DKIM, DMARC настроены с политикой `none` или `quarantine`.
2. Психологическая манипуляция: срочность («аккаунт заблокирован»), апелляция к авторитету («служба безопасности»).
3. Использование легитимных сервисов-посредников (Microsoft Forms, Google Docs) для обхода фильтров.
4. Отсутствие у пользователей привычки проверять URL вручную (hover over link без клика).

Решение:

1. Анализ заголовков письма (Email Forensics):
- Извлеките оригинальные заголовки (RFC 822). В Gmail: «Показать оригинал», в Outlook: «Свойства» → «Интернет-заголовки».
- Проверьте `Authentication-Results`:
bash
grep -E "spf|dkim|dmarc" email_headers.txt

- Если `spf=pass`, `dkim=pass`, `dmarc=pass` — письмо подлинно (но не гарантия при слабой политике).
- Ищите несоответствие `From:` и `Return-Path:` (обязательно различаются для фишинга).

2. Валидация URL (без клика):
- Выполните декодирование ссылки:
bash
echo "https://evil.example.com/redirect?url=https://bank.ru" | python3 -c "import sys, urllib.parse; print(urllib.parse.unquote(sys.stdin.read()))"

- Проверьте DNS-записи подозрительного домена:
bash
for type in A MX TXT; do dig +short $domain $type; done

- Используйте VirusTotal API для проверки URL: `curl -s --request POST --url 'https://www.virustotal.com/api/v3/urls' --form 'url=URL_HERE' --header 'x-apikey: YOUR_KEY'`.

3. Анализ вложений (статический):
- Не открывая файл, проверьте хеш: `sha256sum suspicious.docm`
- Прогоните через `oleid` или `olevba` (для Office):
bash
olevba suspicious.docm | grep -i "autoexec|powershell|wscript"

- Если `.pdf` — используйте `pdfid` и `pdf-parser` на предмет Javascript или скрытых ссылок.

4. Поведенческий анализ (SOC-метод):
- Песочница: `cuckoo --url https://phish.example.com` (только в изолированной среде).
- Проверьте IP адреса SMTP-сервера отправителя в базах OTX AlienVault или AbuseIPDB.

5. Обучение пользователей (единственная защита от MFA fatigue):
- Правило: «Не нажимай — проверь вручную в браузере». Ввести двухканальную верификацию: если пришло уведомление — открыть сервис через закладку, а не ссылку.
- Использовать менеджер паролей (Bitwarden, KeePass) — он не подставит данные на подставной домен.