Как распознать фишинговый сайт в письме? 6 уловок злоумышленников

Одно из главных правил кибербезопасности — проверять отправителя, ссылки и файлы в письме, чтобы не подхватить вирусы или не слить важные данные. Но современные методы взломщиков распознать с первого взгляда довольно сложно, потому что они научились маскировать URL. Видите вы один адрес, а переходите по-другому.

Как говорится, предупрежден — значит, вооружен.

Поэтому рассказываем вам о самых распространенных способах, которыми пользуются хакеры.

В знакомую ссылку злоумышленники включают замаскированный адрес, помещая его после @. Вы обращаете внимание только на первую часть URL и не замечаете второй части, которая и показывает, куда вы на самом деле перейдете.

Дело в том, что если адрес до @ не считываются браузером, то он автоматически переходит по адресу после символа @.

Например, http://pretending-to-be-on-google.com@i.rebootit.ru

В начале какая-то страница якобы на Гугле, но на самом деле вы перейдете на наш сайт, указанный после @.

После @ можно скрыть реальный сайт, чтобы вызвать меньше подозрений. Для этого сайт переводят из IP в число. Все современные браузеры, видя его в URL, автоматически конвертируют его обратно в IP-адрес.

Таким образом акцентируется внимание еще больше на первой части ссылки, на домене, а все остальное выглядит, как параметр.

Есть множество легитимных сервисов, которые сокращают длинные ссылки и создают короткую, даже с узнаваемым доменом (например, vk.cc). Внутрь можно поместить любую другую, а проверить, что внутри, не кликнув — не получится.

Так называется сервис, который упрощает загрузку сайтов и контента на мобильных устройствах, придуманный Гуглом в 2017 году. Он создает облегченные веб-версии, а контент загружается с сервером Гугла.

Для страницы AMP URL содержит префикс AMP, который выглядит следующим образом:

google.com/amp/

Сейчас злоумышленники научились использовать механизм для маскировки ссылки. Кликнув по такой ссылке, вы попадаете на другой сайт. Антифишинговые фильтры тоже не распознают их.

Это сервисы e-mail рассылок, в которых можно зарегистрироваться и оформить подписку. Письма рассылаются от этого провайдера, который и вызывает доверие.

Киберпреступники становятся клиентами сервисов и рассылают поддельные сайты, а указанные URL не блокируются.

Это китайский движок, механизм которого отличается от привычных нам поисковых систем. Если скопировать URL из запроса в Baidu, то он выдаст ее редиректом, то есть в начале будет домен самого Baidu.

VK тоже так делает, если копировать ссылку из опубликованной записи. Скорее всего, существуют еще аналогичные сервисы, которые могут делать так же и редиректить URL.

__

Примените все возможные методы защиты для распознания фишинговых ссылок, подключите корпоративные почтовые серверы и тщательно присматривайтесь к каждому письму.