Как проверить ссылку на безопасность

Фишинг — самый массовый вид кибератак: по статистике, с него начинается 91% успешных взломов. Обычно схема выглядит так: мошенники создают сайты, похожие на страницы банков, маркетплейсов или популярных сервисов, а затем рассылают ссылки на них с поддельных аккаунтов, фальшивых почтовых адресов или взломанных профилей знакомых.

Если перейти по такой ссылке и ввести свои данные, последствия могут быть серьёзными: злоумышленники получат доступ к аккаунту, украдут персональную информацию, платёжные данные или деньги.

В этой статье разберём, по каким признакам распознать вредоносную ссылку, какие онлайн-сервисы помогут проверить её на безопасность и вирусы и что делать, если вы уже перешли по ней и оставили на странице платёжные данные или пароль.

Содержание

• Когда стоит насторожиться: признаки фишингового сообщения
• Как распознать фишинговую ссылку по адресу
• Сервисы для распознавания вредоносных ссылок
• Что делать, если вы перешли по опасной ссылке
• Чек-лист для проверки ссылок

Когда стоит насторожиться: признаки фишингового сообщения

Обычно мошенники бьют по «слепым зонам» человеческой психики — тревоге, спешке, любопытству, радости от внезапной выгоды. Их задача — заставить вас запаниковать или, наоборот, обрадоваться так сильно, чтобы вы нажали на ссылку не задумываясь.

Расчёт строится на том, что в сильной эмоции человек чаще действует на автомате: открывает письмо «от банка», переходит по ссылке от «коллеги» или вводит пароль на странице, которая выглядит как настоящая. Чтобы подтолкнуть жертву к такому действию, злоумышленники используют психологические приёмы и технические уловки в оформлении сообщений.

При этом пугаться каждой ссылки в почте или мессенджере не нужно: большинство из них безопасны. Важно другое — научиться замечать признаки, по которым можно распознать подозрительное сообщение. Поэтому прежде чем проверять саму ссылку, сначала оцените текст. Вот шесть признаков, которые могут указывать на обман.

Давление на эмоции. «ВАШ СЧЁТ ЗАБЛОКИРОВАН!» или «Вам положена выплата 50 000 рублей!». Такие формулировки нужны, чтобы вызвать быструю реакцию — испуг или радость, — ощущая которую, человек нажмёт на ссылку без раздумий. Настоящие банки и госорганы так не пишут: их сообщения сухие, по делу, без капслока и восклицательных знаков.

Спешка. «Подтвердите данные за два часа, иначе аккаунт удалят». Сообщения, которые торопят, необходимы, чтобы человек не успел подумать или позвонить в поддержку. Реальные сервисы такие ультиматумы почти не ставят, а если что-то срочно — дублируют уведомление в личном кабинете и приложении.

Необычное поведение отправителя. «Госуслуги» вдруг присылают код в мессенджере вместо официального канала, давно молчавший знакомый внезапно объявляется с просьбой «проголосовать», банк рассылает уведомления через SMS с незнакомого номера. Любое отклонение от привычного формата общения — повод насторожиться.

Безличные обращения. «Уважаемый пользователь», «Дорогой клиент», «Многоуважаемый получатель». Настоящие сервисы обычно знают ваше имя: оно есть в базе клиентов. Массовая рассылка без обращения по имени часто связана с фишингом.

Ошибки и опечатки. Текст звучит так, будто его переводили через автопереводчик, в словах пропущены буквы или странно расставлены пробелы. Часто мошенники делают это для обхода спам-фильтров в почтовых клиентах.

Подозрительный адрес отправителя. Сравните домен почты с официальным сайтом компании. Если письмо «от Сбербанка» пришло с адреса вроде sberbank-info@mail-service.com, а не с @sberbank.ru — это подделка. Если сомневаетесь — найдите адрес поддержки на сайте компании и сверьте.

Главное правило: если сообщение пугает, обещает лёгкие деньги, требует немедленных действий или просто кажется странным — не открывайте ссылку и не скачивайте вложение, пока не убедитесь, что они безопасны.

Как распознать фишинговую ссылку по адресу

Распознать фишинг или ссылку на вирус можно и без специальных сервисов — часто достаточно внимательно посмотреть на сам адрес. Мошенники маскируют опасные ссылки тремя основными способами: прячут настоящий домен среди поддоменов и приставок, подменяют буквы в названии бренда или скрывают ведущий на вредоносный сайт адрес за коротким редиректом. Разберём каждый из них.

Обратите внимание на домен

Главное правило при проверке любой ссылки: настоящий адрес сайта — это то, что написано прямо перед первым одиночным слешем /. Всё, что идёт до него, — поддомены и приставки, которые мошенники могут заполнить чем угодно, включая названия известных банков и магазинов. Всё, что идёт после слеша, — папки и страницы на сервере, к адресу сайта они не относятся.

Разберём на примере. У нас есть ссылка:

На первый взгляд — это адрес Сбербанка с дополнительными приставками для «безопасного входа». На самом деле реально существующий сайт банка здесь только маскировка. Разберём адрес по частям:

• https://. Часто можно услышать, что ссылка с https:// безопасна. На деле буква «s» означает только одно: соединение зашифровано, и никто посторонний не может «вклиниться» в него извне. Но зашифрованное соединение с мошенником от самого мошенника не защищает.
• secure-login.sberbank.ru. Поддомен-приманка. Перед основным сайтом можно создать сколько угодно уровней поддоменов и вписать туда что угодно — в том числе названия известных брендов. В нашем примере мошенники вписали sberbank.ru, чтобы ссылка выглядела убедительно.
• verify-account.com. Настоящий домен. Это самая важная часть ссылки — она находится прямо перед первым одиночным слешем /. Именно на этот сервер уйдут все данные, которые вы введёте на странице. Как видите, к Сбербанку он отношения не имеет.
• /auth/. Папка на сервере мошенника, имитирующая страницу авторизации.

Настоящая ссылка Сбербанка выглядит так:

Проверьте написание URL-адреса

Подмена букв в адресе — один из самых частых приёмов мошенников. Расчёт на то, что глаз пробегает по знакомому слову и не замечает отличий. Вариантов несколько.

Лишние буквы и опечатки. Добавляется или подменяется одна буква, и невнимательный читатель ничего не замечает: gooogle.com вместо google.com, vkkontakte.ru вместо vk.com, wildberies.ru вместо wildberries.ru. Особенно опасны двойные согласные и парные гласные: глаз их обычно проскакивает.

Дефисы и приставки. К настоящему названию бренда добавляются слова вроде secure, support, login через дефис: sberbank-online.ru, vk-support.com, gosuslugi-login.ru. Настоящие компании так домены не оформляют: у Сбербанка это sberbank.ru, у «Госуслуг» — gosuslugi.ru, без приставок.

Похожие символы. Цифра «0» вместо буквы o — g00gle.com, цифра «1» вместо буквы l — paypa1.com, буквы rn вместо m — arnazon.com вместо amazon.com. На экране отличие почти не заметно, особенно в мелком шрифте.

Подозрительные доменные зоны. Обычно компании регистрируют сайты в распространённых зонах — .ru, .com, .org. Если знакомый бренд вдруг оказывается на дешёвых или редких доменах вроде .xyz, .top, .click, .tk или .online — это почти гарантированный фишинг. Например, настоящий банк никогда не разместит свой сайт на sberbank.xyz. Такие зоны стоят дешевле, регистрация на них занимает минуты, поэтому ими активно пользуются мошенники для одноразовых страниц.

Буквы из других алфавитов. Более продвинутая схема — использование символов, которые в кириллице и латинице пишутся одинаково. Например, в ссылке https://аpple.com/login/ первая буква «а» — кириллическая. Для человека это всё тот же apple, а для браузера — совершенно другой адрес. Технически такие домены преобразуются по алгоритму Punycode и в реальности выглядят так: xn--pple-43d.com. Современные браузеры (Chrome, Firefox) обычно показывают настоящее написание в адресной строке — но не всегда.

Изучите, куда ведёт короткая ссылка

Мошенники часто прячут настоящий адрес с помощью сервисов сокращения ссылок — например, bit.ly, clck.ru, vk.cc и подобных. По таким ссылкам нельзя переходить вслепую: настоящий адрес скрыт, и понять, куда вас ведут, заранее нельзя.

Чтобы посмотреть конечный адрес, не открывая сам сайт, скопируйте короткую ссылку и вставьте её в специальный сервис — например, CheckShortURL или WhereGoes. Они раскроют ссылку и покажут, на какую страницу она в итоге ведёт.

Раскрытый адрес дальше проверяется как обычная ссылка — по структуре домена и буквам в названии. Если домен показался подозрительным, можно прогнать его через сервисы из следующего раздела.

Сервисы для распознавания вредоносных ссылок

Распознать вредоносную ссылку на глаз получается не всегда — особенно если она пришла от знакомого или замаскирована под адрес известного бренда. В таких случаях помогают специальные сервисы — сканеры ссылок.

Принцип работы у них одинаковый: вы вставляете адрес, а сервис пробивает его сразу на нескольких уровнях. Проверяет домен по чёрным спискам антивирусных компаний, собирает данные о хостинге, отслеживает редиректы и в некоторых случаях даже открывает страницу в изолированной среде, чтобы посмотреть, как она себя ведёт.

Мы выбрали пять популярных сервисов и устроили между ними соревнование: какой найдёт больше вредоносных ссылок. Для проверки взяли пять адресов:

• тестовый фишинговый домен от Cisco — http://www.internetbadguys.com/;
• официальную тестовую страницу Google для проверки через Safe Browsing — https://testsafebrowsing.appspot.com/s/malware.html;
• тестовая страница, имитирующая скрытую загрузку эксплойта через уязвимость браузера, — http://wicar.org/testmalware.html;
• реальный фишинговый сайт, замаскированный под «Госуслуги»;
• реальный мошеннический смарт-контракт, который ворует криптовалюту.

Прогоним каждую ссылку через все пять сервисов и посмотрим, какие угрозы они увидят, а какие — пропустят

Virus Total

VirusTotal — бесплатный онлайн-сервис для проверки ссылок. Вставляете подозрительный адрес в строку поиска, и через несколько секунд сервис показывает, как его оценивают несколько десятков антивирусных движков и баз репутации: Kaspersky, ESET, Google Safe Browsing и другие. Если хотя бы пара источников помечает ссылку как опасную, переходить по ней не стоит. Удобно проверять адреса из почты, мессенджеров и SMS — особенно если отправитель незнакомый или сообщение выглядит подозрительно.

Результаты теста:

• тестовый домен Cisco — распознан;
• тестовая страница Google Safe Browsing — распознана;
• страница с имитацией эксплойта — распознана;
• фишинг под «Госуслуги» — распознан;
• мошеннический смарт-контракт — пропущен.

URLVoid

URLVoid — ещё один бесплатный сервис для проверки ссылок. Работает похожим образом: вставляете адрес сайта, и сервис прогоняет его через 30+ баз репутации — Google Safe Browsing, Norton Safe Web, McAfee, PhishTank и другие. В отчёте видно, попадал ли домен в чёрные списки, и можно посмотреть дополнительную информацию: возраст домена, страну регистрации и так далее.

Результаты теста:

• тестовый домен Cisco — распознан;
• тестовая страница Google Safe Browsing — распознана;
• страница с имитацией эксплойта — распознана;
• фишинг под «Госуслуги» — распознан;
• мошеннический смарт-контракт — пропущен.

Hybrid Analysis

Hybrid Analysis — бесплатный сервис от компании CrowdStrike, который не просто сверяет ссылку с базами, а открывает её в изолированной среде и смотрит, что произойдёт. Такой подход называется песочницей: сайт запускается в виртуальной машине, отрезанной от реальной системы, и сервис фиксирует все его действия — какие файлы сайт пытается загрузить, куда отправляет данные, какие скрипты запускает.

В отчёте видно подробное поведение страницы: подозрительные редиректы, попытки скачать вредоносные файлы, обращения к опасным серверам. Удобно, когда обычные проверки по базам ничего не показали, а ссылка всё равно выглядит подозрительно.

URLScan.io

URLScan.io — бесплатный сервис, который открывает ссылку в виртуальном браузере и подробно записывает всё, что происходит на странице. В отчёте видно, какие домены и сервера загружаются вместе с сайтом, куда уходят редиректы, какие скрипты выполняются и как страница выглядит визуально: сервис делает её скриншот.

Особенно полезен для проверки фишинговых ссылок: даже если страница маскируется под Сбербанк или «Госуслуги», в отчёте сразу видно, что она размещена на постороннем домене и подгружает данные с подозрительных серверов. У сервиса есть и публичный поиск — можно посмотреть, не сканировал ли кто-то этот адрес раньше.

Результаты теста:

• тестовый домен Cisco — распознан;
• тестовая страница Google Safe Browsing — не распознана;
• страница с имитацией эксплойта — не распознана;
• фишинг под «Госуслуги» — не открылась, так как домен недоступен;
• мошеннический смарт-контракт — не открылся из-за недоступного домена.

Google Transparency Report

Google Transparency Report — официальный сервис от Google для проверки сайтов на безопасность. Он использует ту же базу мошеннических сайтов Safe Browsing, на которую опирается Chrome, когда показывает красный экран «опасный сайт».

Для проверки веб-страницы вставьте адрес, и сервис покажет, считает ли Google сайт безопасным, когда он в последний раз проверялся и не замечен ли в распространении вредоносного ПО или фишинга.

Результаты теста:

• тестовый домен Cisco — пропущен;
• тестовая страница Google Safe Browsing — распознана;
• страница с имитацией эксплойта — пропущена;
• фишинг под «Госуслуги» — пропущен;
• мошеннический смарт-контракт — пропущен.

Какой сервис выбрать

Ни одному сервису нельзя доверять на 100%. Даже Google Safe Browsing, на базу которой опираются основные браузеры, например Google Chrome и Mozilla Firefox, в нашем тесте справился только с одной ссылкой из пяти. А сканеры-песочницы оказались бессильны перед недоступными доменами, хотя именно их обычно используют мошенники: ссылка живёт несколько часов, успевает собрать данные жертв и исчезает.

Поэтому лучший подход — комбинированный. Сначала оцените ссылку сами: проверьте отправителя, посмотрите на домен и буквы в нём, раскройте короткий URL. Если сомнения остались — прогоните адрес через два-три сервиса сразу: например, VirusTotal и URLVoid. И помните: ни один сканер не заменит внимательного взгляда — лучший антивирус по-прежнему здравый смысл.

Что делать, если вы перешли по опасной ссылке

Если вы кликнули по ссылке или открыли подозрительный файл, паниковать не стоит — важно действовать быстро и минимизировать ущерб. Дальнейшие шаги зависят от того, что именно вы успели сделать.

Просто открыли страницу. Если вы не нажимали кнопок, ничего не вводили и быстро закрыли вкладку — скорее всего, ничего не случилось. Современные браузеры — например, Chrome, Safari, Edge — отсекают большинство фоновых загрузок. Однако совсем исключать их нельзя: иногда вредоносный файл всё-таки скачивается через уязвимость браузера или плагина. На всякий случай загляните в папку «Загрузки» — если там оказался незнакомый файл, удалите его, не открывая.

Ввели данные в форму. Если на странице вы оставили платёжные данные — счёт идёт на секунды. Заблокируйте карту через приложение банка или по горячей линии и проверяйте последние операции.

Если вы ввели логин и пароль от какого-то сервиса, меняйте их немедленно — но не с того же устройства. На заражённом компьютере может работать стилер, который перехватит и новый пароль, — в таком случае менять данные будет безопаснее с телефона через мобильную сеть. Если этот же пароль используется на других сервисах — поменяйте его и там, а заодно включите двухфакторную аутентификацию везде, где это возможно.

Запустили скачанный файл. Первым делом отключите интернет — выньте кабель из компьютера или выключите Wi-Fi. Это нужно, чтобы вирус не успел связаться с серверами злоумышленников: получить ключи шифрования, отправить туда ваши файлы или скачать дополнительные модули. После этого скопируйте важные документы на внешний носитель — на случай, если в системе уже работает шифровальщик. Затем запустите полное сканирование антивирусом. Важно выбрать именно полное сканирование, а не быстрое: последнее проверяет только системные папки и пропускает большинство угроз, спрятанных в пользовательских директориях и временных файлах. Сканирование может занять несколько часов, но прерывать его не стоит.

Если ничего подозрительного не нашлось, но поведение компьютера всё равно настораживает (он тормозит, появились незнакомые процессы, открываются окна), стоит проверить систему вторым антивирусным сканером. К переустановке системы имеет смысл прибегать только в крайнем случае, когда явно есть признаки заражения, а проверки ничего не находят.

Чек-лист для проверки ссылок

Сохраните этот список и сверяйтесь с ним, если вам прислали подозрительную ссылку:

• Отправитель вам знаком, и сообщение выглядит для него типично — без неожиданных просьб «проголосовать» или «одолжить до завтра».
• Ссылка проверена наведением курсора — реальный адрес во всплывающей подсказке совпадает с тем, что написано в тексте.
• Если ссылка короткая, она предварительно проверена через сервис-дешифратор.
• В домене нет лишних дефисов, опечаток (например, sber-bank.ru вместо sberbank.ru) и подозрительных доменных зон вроде .xyz или .top.
• Если ссылка ведёт на загрузку файла, она предварительно проверена через VirusTotal или URLVoid.