Одно из главных правил кибербезопасности — проверять отправителя, ссылки и файлы в письме, чтобы не подхватить вирусы или не слить важные данные. Но современные методы взломщиков распознать с первого взгляда довольно сложно, потому что они научились маскировать URL. Видите вы один адрес, а переходите по-другому.
Как говорится, предупрежден — значит, вооружен.
Поэтому рассказываем вам о самых распространенных способах, которыми пользуются хакеры.
С помощью @
В знакомую ссылку злоумышленники включают замаскированный адрес, помещая его после @. Вы обращаете внимание только на первую часть URL и не замечаете второй части, которая и показывает, куда вы на самом деле перейдете.
Дело в том, что если адрес до @ не считываются браузером, то он автоматически переходит по адресу после символа @.
Например, http://[email protected]
В начале какая-то страница якобы на Гугле, но на самом деле вы перейдете на наш сайт, указанный после @.
Под число
После @ можно скрыть реальный сайт, чтобы вызвать меньше подозрений. Для этого сайт переводят из IP в число. Все современные браузеры, видя его в URL, автоматически конвертируют его обратно в IP-адрес.
Таким образом акцентируется внимание еще больше на первой части ссылки, на домене, а все остальное выглядит, как параметр.
Сокращенные ссылки
Есть множество легитимных сервисов, которые сокращают длинные ссылки и создают короткую, даже с узнаваемым доменом (например, vk.cc). Внутрь можно поместить любую другую, а проверить, что внутри, не кликнув — не получится.
Google Accelerated Mobile Pages
Так называется сервис, который упрощает загрузку сайтов и контента на мобильных устройствах, придуманный Гуглом в 2017 году. Он создает облегченные веб-версии, а контент загружается с сервером Гугла.
Для страницы AMP URL содержит префикс AMP, который выглядит следующим образом:
google.com/amp/
Сейчас злоумышленники научились использовать механизм для маскировки ссылки. Кликнув по такой ссылке, вы попадаете на другой сайт. Антифишинговые фильтры тоже не распознают их.
ESP-провайдер
Это сервисы e-mail рассылок, в которых можно зарегистрироваться и оформить подписку. Письма рассылаются от этого провайдера, который и вызывает доверие.
Киберпреступники становятся клиентами сервисов и рассылают поддельные сайты, а указанные URL не блокируются.
Поисковик Baidu
Это китайский движок, механизм которого отличается от привычных нам поисковых систем. Если скопировать URL из запроса в Baidu, то он выдаст ее редиректом, то есть в начале будет домен самого Baidu.
VK тоже так делает, если копировать ссылку из опубликованной записи. Скорее всего, существуют еще аналогичные сервисы, которые могут делать так же и редиректить URL.
__
Примените все возможные методы защиты для распознания фишинговых ссылок, подключите корпоративные почтовые серверы и тщательно присматривайтесь к каждому письму.