Електронна пошта без ризику: як перевірити лист на віруси до того, як стало пізно

by · 07.05.2025

На зображенні представлено ілюстрацію конверта з листом всередині, розташованого перед щитом. Зліва від щита також знаходиться кругла іконка із зеленою галочкою. Конверт і щит мають відтінки фіолетового кольору, а галочка – зелена з білим. Фон зображення – градієнт світло-фіолетового кольору. Це зображення символізує захищене або перевірене повідомлення, вказуючи на те, що електронний лист чи повідомлення автентифіковане та має захист. Щит уособлює безпеку, а галочка – підтвердження або схвалення.

Оцінка рівня безпеки (чи потенційної загрози) кожного листа

Сучасні поштові сервіси, такі як Gmail, Ukr.net, Meta.ua, Outlook та Yahoo, автоматично сканують вхідні листи на наявність шкідливого коду, фішингових елементів і спаму. Завдяки вбудованим системам захисту вони здатні виявляти підозрілий контент ще до відкриття листа користувачем. Однак жодна система не є на 100% гарантованою, тому остаточна оцінка безпеки листа завжди залишається за користувачем.

Перевірку електронного листа на безпечність можна умовно поділити на 3 етапи, що виконуються послідовно:

  • Етап 1. Визначаємо рівень загрози, не відкриваючи листа
  • Етап 2. Відкриваємо лист та визначаємо його безпечність, але нічого не завантажуємо, не натискаємо і нікуди не переходимо
  • Етап 3. Визначаємо безпечність вкладених файлів

Дії на кожному з зазначених етапів:

Етап 1. Визначаємо рівень загрози, не відкриваючи листа

Не відкриваючи листа, а лише переглядаємо загальну інформацію про нього у вхідних повідомленнях поштового клієнта (інтерфейсу поштового сервісу):

Адреса  або ім’я відправника Перевіряємо умовну відповідність імені відправника його ел.адресі та домену (особливо для організацій – перевірка на підробну електронну адресу).
Також можна перевірити адресу на шахрайство за допомогою онлайн сервісів:

  • https://emailrep.io — перевіряє репутацію електронної адреси (підозрілий домен, участь у фішингових кампаніях).
  • https://whois.domaintools.com — перевіряє, кому належить домен (часто видно, що він зареєстрований учора і вже підозрілий).
  • Google-пошук + домен — іноді шахрайські адреси обговорюються на форумах чи в базах спаму.
Тема  листа Надто емоційна, панічна, з терміновістю або заманою, з фразами, які зловмисники використовують для психологічного тиску або маніпуляцій – фішингові листи
Фрагмент тексту Мова листа, іноді – зміст листа
Наявність вкладень На цьому етапі – тільки аналізуємо, є вкладені файли чи немає.
Час надсилання Незвичний час (наприклад, серед ночі) — ще один непрямий сигнал, особливо з дивного домену

На цьому етапі головна мета — навчитися відрізняти типовий лист від незвичного або підозрілого. Якщо є хоч найменші сумніви, лист краще не відкривати, або проконсультуватися зі спеціалістом.

🔐 Якщо є сумніви — дії:

  • Не відкривайте — видаліть або позначте як спам.
  • Якщо сумніваєтесь, але хочете перевірити — відкрийте заголовки листа без його перегляду.
  • Для організацій — зверніться до фахівців з кібербезпеки або до служби технічної підтримки вашої організації .

Етап 2. Визначаємо рівень безпеки, переглядаючи лист

Відкриваємо лист, але в жодному випадку не натискаємо на активний контент листа, не переходимо по посиланням чи QR-кодам, не завантажуємо вкладені файли.

Теоретично дуже рідко відкриття листа навіть без кліків, завантажень та переходу за посиланнями може запустити вірус. На щастя на практиці це майже неможливо в сучасних поштових сервісах (Gmail, Outlook тощо), які зазвичай блокують виконання JavaScript у листах. Але не всі поштові клієнти це гарантують –  деякі корпоративні поштові програми (або застарілі клієнти) можуть бути вразливими.

HTML-листи та листи з вбудованим контентом можуть містити шкідливі елементи (вбудовані картинки, що передають IP-адресу або містять шкідливі посилання ,вразливості в PDF-переглядачах, CSS-трюки, що маскують шкідливі посилання, скрипти або шкідливі JavaScript-функції, що активуються при відкритті листа, кнопки, qr-коди або посилання, які спрямовують на фішингові сайти для збору особистої інформації тощо). Веб-інтерфейси (Gmail, Ukr.net тощо) блокують автоматичне виконання JavaScript, тому активний вірус не запускається просто від перегляду листа.

Для запобігання трекінгу та уникнення «автоматичних вірусних» вбудовок потрібно вимкнути автоматичне завантаження зображень (за-замовченням воно вимкнуто, але якщо є сумніви – варто перевірити):

Відкрити Gmail → Налаштування → ⚙️→ Переглянути всі налаштування →Вкладка: Загальні → Опція: Зображення → обрати «Запитувати перед показом зовнішніх зображень» →Зберегти

Отже, за умови правильної конфігурації системи, регулярного оновлення поштових сервісів і антивірусного програмного забезпечення, а також обережної поведінки користувача — без переходів за посиланнями, відкриття вкладень, сканування QR-кодів чи натискання кнопок — основна загроза залишається пов’язана саме з відкриттям вкладених файлів або активацією підозрілих посилань.

Для перевірки рівня безпеки електронного листа на 2 етапі (відкритий лист) виконуємо наступні дії:

Поведінка після відкриття листа Ознаки підозрілих електронних листів:
👉 Зміст не відповідає темі листа
👉 Є кнопки без видимого призначення або підроблені елементи інтерфейсу (ніби кнопка Gmail)
👉 Наявність зашифрованого тексту, вигляду «☠⚠⛔», «важливо, натисніть тут»
👉 Лист англійською або ламаною українською/російською, без чіткого звернення
👉 Наявність несподіваних вкладень (PDF, ZIP, EXE)
Наявність активних компонентів, особливо якщо вони в листі недоречні. Не можна стверджувати, що електронний лист не має містити взагалі ніяких кнопок чи інших активних компонентів, але недоречне їх використання, велика кількість різних посилань, особливо зі скритим шляхом переходу – це все може свідчити про небезпечність таких посилань та переходів
Форма звернення в листі Також варто звернути увагу, як звертаються до вас у листі: на ім’я чи використовують загальні фрази «Шановні колеги», «Шановний клієнте» і т.д. Якщо лист має ознаки спаму чи фішингу, а злочинець вказує ваше ім’я, тоді атаку можна вважати підготовленою спеціально під вас.
Мова та наявність граматичних/орфографічних помилок Незрозуміла мова або мова, яка не відповідає мові в налаштуваннях відповідного облікового запису, а також наявність граматичних / орфорграфічних помилок – це один з індикаторів фішингового листа
Зміст листа Надмірно  емоційний, панічний, маніпулятивний, погрозливий чи навпаки заманливий наратив у тексті листа, а також вимога швидких, термінових дій зазвичай є ознакою фішингової атаки.
Підміна бренду, кирилиця замість латиниці або навпаки Це знов-таки питання електронної адреси та посилань на підробні сайти. Ці листи можуть не носити занадто маніпуляційного чи термінового наративу, можуть пропонувати продукцію чи інформацію, рекомендувати зареєструватися чи взяти участь в опитуванні, давати якісь цікаві цінні поради чи рекламувати послуги фахівця – теми можуть бути різні, головне – ненав’язливо змусити людину перейти за посиланням й зробити потім певні дії (ввести певні дані чи підтвердити особисту інформацію, зареєструватись чи дозволити щось, подекуди – завантажити програму або додаток)
Наявність активних посилань у листі та куди вони направляють користувача (без натискання на них). Спробуйте навести мишкою на посилання (не натискаючи) та потримайте декілька секунд. У правому куті, подивіться, куди насправді воно вас веде.
Якщо ви отримуєте файл у додатку та пароль для відкриття його, це є великою підозрою на наявність у ньому шкідливого коду. Справа в тому, що у поштових сервісів є свої антивіруси, які сканують файли на наявність вірусів. Злочинці про це також знають, тому використовують функціонал архіваторів (WinRar, ZIP, та інші), щоб зашифрувати вміст файлу паролем. Таким чином, коли ви отримуєте файл на пошту, поштовий антивірус не може розпізнати шкідливість файлу, оскільки він зашифрований
Наявність у листі активних елементів Якщо лист містить кнопки, посилання чи мультимедіа і надійшов від невідомого — не натискати на кнопки, навіть якщо вони виглядають «офіційно». Не відкривати відео / GIF / картинки — видаляти або перевіряти ізольовано.
Щоб перевірити посилання кнопки, наведіть курсор на кнопку, не натискаючи її — у більшості поштових клієнтів або браузерів ви побачите посилання (URL), куди веде ця кнопка.
Лист містить QR-коди Якщо лист містить QR-коди , щоб перевірити їх потрібно використовувати тільки безпечні сканери QR-кодів, які показують посилання перед переходом.
Наприклад, на Android: Kaspersky QR Scanner, QR & Barcode Scanner від Gamma Play;
На iOS: QR Code Reader & QR Scanner від MixerBox або перевірені програми антивірусів.
Скануйємо, але не переходимо одразу – потрібно подивіться, яку адресу відкриє QR-код, перевірте її через VirusTotal або подібні сервіси.
Не використовуйте камеру, яка одразу відкриває браузер! — у налаштуваннях телефону краще вимкнути цю автоматичну дію

Етап 3. Визначаємо рівень загроз вкладених файлів.

Визначаємо рівень небезпеки, який становлять вкладені файли:

Рівень небезпеки Тип файлів Механізм атаки: ⚠ Приховані ризики:
Вкрай небезпечні Виконувані файли:
.exe, .msi, .bat, .cmd, .com, .pif, .scr, .vbs, .js, .jse, .wsf, .cpl, .dll		 безпосереднє виконання коду при запуску (запускають вірус, встановлюють бекдори, трояни, криптомайнери). часто маскуються під інші формати — наприклад, document.pdf.exe (розширення .exe не видно, якщо в системі приховані розширення).
Вкрай небезпечні Ярлики: .lnk відкриття ярлика може викликати запуск шкідливого коду, що прописаний у його властивостях (наприклад, виклик PowerShell з завантаженням зловмисного скрипта). Часто мають значок “Word”, “PDF” або інше, щоб ввести в оману користувача.
Небезпечні Архіви: .zip, .rar, .7z, .tar, .gz, .iso, .img можуть містити інші шкідливі файли, які запускаються після розпакування. ISO-файли часто використовуються як контейнер для .exe чи .lnk. Часто архіви запаролені — антивірус не може їх просканувати.
Такі файли часто використовуються для шкідливих дій і не мають відкриватися навіть з інтересу
Вкрай небезпечні Файли без розширення або з фейковим розширенням
invoice.pdf.exe — розширення .exe може бути приховане
Файли типу invoice.bin, payload.dat, update.tmp, unknown.xyz		 користувач не розуміє, що це, але відкриває “бо виглядає як важливий документ”.
Часто саме вони маскуються під звичайні «безпечні» чи «потенційно безпечні» файли		 Увага! Windows за замовчуванням приховує розширення, тому небезпечний файл може виглядати як “invoice.pdf” (а насправді це «invoice.pdf.exe». Замість pdf може бути doc, docx, rtf, xls, xlsx, txt тощо – будь-яке розширення).
Вкрай небезпечні Файли системних форматів
.reg — вносить зміни до реєстру
.ps1 — скрипт PowerShell
.hta — HTML-додаток, може запускати ActiveX або JavaScript
.xll — надбудова Excel, яка може містити шкідливий код		 Автоматичне виконання коду при відкритті або встановленні Несанкціонований доступ, зміна системних налаштувань, запуск вірусів
Потенційно небезпечні файли Документи Microsoft Office: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .docm, .xlsm, .pptm макроси (VBA), які можуть запускати скрипти, завантажувати віруси з інтернету
*.docm, *.xlsm, *.pptm — макроси дозволені за замовчуванням, це завжди сигнал “Увага!”		 Іноді шкідливий код активується при відкритті документа (автоматично або після кліку по кнопці в документі).
.docx, .xlsx, .pptx — умовно безпечні формати, які не підтримують макроси за замовчуванням. Однак вони можуть містити вбудовані об’єкти, посилання або бути зміненими для використання вразливостей програм, що їх відкривають. Рекомендовано відкривати лише з перевірених джерел і лише у захищеному режимі.
Потенційно небезпечні файли PDF-файли: .pdf JavaScript-вставки, вбудовані посилання на фішингові сайти, вставлені EXE-файли, автозапуск Іноді виглядають як порожні, але містять “невидимі” об’єкти (прихований контент).
Файли з низьким ризиком, але з можливими прихованими загрозами Текстові та табличні файли:
.txt, .csv, .rtf		 Вважаються безпечними. Але: .csv може викликати CSV-ін’єкції (наприклад, у Excel формула починається з =cmd|… і викликає небажані дії при відкритті).
.rtf може містити експлойти, зокрема для старих версій Word.
Файли з низьким ризиком, але з можливими прихованими загрозами Файли баз даних:
.mdb, .accdb, .dbf		 Відносно безпечні, якщо не містять макросів або вбудованого VBA. У Microsoft Access можливий запуск автокоду при відкритті.
Файли з низьким ризиком, але з можливими прихованими загрозами Інші офісні формати:
.odt, .ods, .odp (формати LibreOffice)		 В основному безпечні, але теж можуть містити макроси.
Медіа-файли: зображення, відео, аудіо Зображення:
.jpg, .jpeg, .png, .bmp, .gif, .svg, .webp		 Зазвичай безпечні Але були експлойти (особливо в *.wmf, *.emf, *.svg) — використовували вразливості в програмах перегляду
Медіа-файли: зображення, відео, аудіо Відео та аудіо: .mp4, .avi, .mov, .mp3, .wav, .flac Здебільшого безпечні Але були випадки атак через фреймворки відтворення (QuickTime, VLC, Windows Media Player) — при відкритті відео відбувався буфер-оверфлоу і запуск коду

Чи може вкладений файл з вірусом заразити комп’ютер?

Варто зауважити, що отримання навіть потенційно шкідливих вкладених файлів у листі саме по собі не становить загрози для безпеки комп’ютера або електронної пошти, за умови, що такі файли не відкривались і не запускались користувачем.
Поштова скринька, як і сам поштовий сервіс, не можуть «заразитися» вірусом від самого факту отримання листа з небезпечним вкладенням, оскільки вони є лише сховищем повідомлень (на сервері поштового провайдера). Небезпека виникає лише у випадку активних дій користувача щодо відкриття чи запуску шкідливого вмісту.
Після завантаження файлу на комп’ютер жодне шкідливе програмне забезпечення не активується (не запускається) автоматично, якщо користувач самостійно не ініціює його запуск. Взагалі у більшості випадків завантаження відверто небезпечного контенту блокує антивірусна програма. До того ж у сучасних операційних системах (Windows 7–11, Linux та мобільних ОС) немає механізму, який автоматично виконує файл після завантаження. Всі шкідливі дії починаються тільки після відкриття або виконання файлу користувачем.
Висновок: сам факт завантаження потенційно небезпечного файла на ПК не є небезпечним, якщо користувач:

  • не відкриває файл,
  • не запускає його вручну,
  • не відкриває архів і не клікає по вмісту.

Але, деякі типи файлів у специфічних умовах можуть активувати небажані дії вже при:

  • перегляді теки у Провіднику,
  • автоматичному формуванні мініатюри або індексації,
  • використанні USB-носія.

Рекомендується:

  • Оновити ОС та офісні програми до актуальних версій;
  • Вимикати попередній перегляд мініатюр у Провіднику Windows;
  • Не відкривати архіви з невідомих джерел, навіть якщо вони «виглядають» як документи;
  • Заборонити автозапуск на зовнішніх носіях у груповій політиці (для адміністраторів).

Як безпечно працювати з вкладеними файлами

Якщо виникають сумніви щодо безпечності листа (невідомий абонент, лист схожий на фішинговий, текст листа спонукає негайно відкрити файли у вкладенні або перейти за посиланням чи по qr-коду, вкладені файли або критично небезпечні, або потенційно небезпечні) – краще такі листи не відкривати, вкладені файли не завантажувати, за посиланнями не переходити, а порадитися з працівниками з кіберзахисту.

Ні в якому випадку не запускайте (а краще навіть не завантажуйте) критично небезпечні файли (виконувані файли, ярлики, а також файли з невідомими, підозрілими чи підробними розширеннями), якщо вони надійшли від невідомого абонента або які ви не очікували отримати. Якщо абонент здається вам відомим (знайомим), але ви не очікували отримати від нього лист з файлами (особливо критично чи потенційно небезпечними файлами) – варто ретельно перевірити, чи дійсно цей абонент надсилав вам лист з такими файлами (а не з підробної пошти), а також чи не був зламаний акаунт абонента.

Що стосується потенційно небезпечних та архівних файлів – їх можна завантажувати на ПК, але не відкривати доти, доки не будете впевнені в їх безпеці.

VirusTotal

Найкращий варіант – перевірити файли за допомогою VirusTotal (https://www.virustotal.com ). VirusTotal — це безкоштовний онлайн-сервіс для перевірки файлів за допомогою десятків антивірусних моторів.

Як скористатися:

  1. Відкрийте сайт https://www.virustotal.com/gui/home/upload
  2. Перетягніть або оберіть файл.
  3. Натисніть «Confirm Upload» (якщо з’явиться).
  4. Подівіться на результат: чистий файл буде позначено зеленим.

Увага: не використовуйте для конфіденційних або чутливих документів — файли завантажуються на сервер VirusTotal.

 

Microsoft Defender або інше встановлене антивірусне ПЗ

Якщо з певних причин неможливо скористатися VirusTotal, завантажені на ПК файли  варто перевірити  за допомогою захисника Windows (Microsoft Defender) або іншого встановленого на ПК антивірусного ПЗ

Як скористатися:

  1. Клікніть правою кнопкою на файлі.
  2. Оберіть «Сканувати за допомогою Microsoft Defender» (або іншого ПК антивірусного ПЗ.

Рівень надійності: хороший для відомих загроз, але може пропустити нові фішингові PDF або обманні вмісти.

Якщо потрібно переглянути потенційно небезпечний файл, рекомендовано відкривати його не на ПК, а тільки через вбудований перегляд у браузері (Chrome, Firefox, Edge – для PDF) або Google Docs чи Office Online у (для DOC/DOCX/XLS).

Небезпечні ознаки у файлі:

  • Є кнопка або посилання «підтвердити акаунт», «увійдіть в систему», «натисніть тут для перегляду повного документа».
  • Вимагає вводу пароля або даних банку.
  • Написано, що файл захищено або треба дозволити редагування / вміст (особливо у Word / Excel).

Якщо ви вже відкрили файл і сумніваєтесь:

  • Не натискайте нічого в файлі.
  • Закрийте його якнайшвидше (якщо на ПК) або закрийте вкладку.
  • Очистіть кеш браузера (не обов’язково, але корисно – якщо відкривали онлайн).
  • Запустіть сканування системи (можна тим самим захисником Windows).
  • Якщо були підозрілі дії — можу підказати, як перевірити автозапуск і процеси.

Як захиститись:

  • Не відкривайте файли від невідомих відправників.
  • Використовуйте захисні засоби: антивірус, безпечний перегляд через браузер.
  • Для більш високого рівня безпеки, відкривайте сумнівні файли у віртуальних середовищах або пісочницях (sandbox).
  • Якщо ви випадково відкрили сумнівний файл: Не натискайте ні на що всередині.

📧Більше інформації про те, як не заразити комп’ютер через email – на сторінці Кібербезпека електронних листів

🛡️Детальніше про кібербезпеку можна знайти в розділі «Кібербезпека» на сайті Херсонської РД(В)А: https://khersonrda.gov.ua/kiberbezpeka/

Show Buttons
Hide Buttons