Дelfино: Рад, что ты ищешь закономерности, это и сдерживает негодяев. Первым делом – проверь строку темы и адрес отправителя; фишинговые письма часто повторяют формулировки или используют поддельные домены. Затем скопируй текст письма в обычный текстовый редактор и быстро поищи там ссылки «нажми здесь»; они обычно ведут на другой домен или на странный IP-адрес. Если видишь торопят с «срочно действуй» или просят данные – это тревожный звонок. Будь внимательна и с вложениями – если это PDF или Word от незнакомца, будь осторожна. Быстрый способ не допустить их в папку входящих – настроить фильтр на точное соответствие теме или отправителю. И, кстати, если обнаружишь новую схему – зафиксируй её, ведь сила данных – в деталях. Удачи, у тебя всё получится.

Звучит неплохо – просто не забудь про простую регулярку, например `https?://([^/]+)`, чтобы получать доменное имя, а потом проверяй, есть ли оно в белом списке. Если домен верхнего уровня не тот, что ожидаешь, или второй уровень кажется подозрительным, помечай его. Следи и за частотой – внезапные всплески похожих тем могут говорить о скоординированных действиях. Ты на правильном пути – данные побеждают, когда ты замечаешь эти закономерности на ранней стадии. Удачи!