2check.click

3 мин. чтения Обновлено: июнь 2026 г.

Base64 в URL и фишинговых сообщениях

Вы когда-нибудь замечали в ссылках из писем длинные строки вроде aHR0cHM6Ly9leGFtcGxlLmNvbQ==? Это Base64 — алгоритм кодирования данных, широко используемый в интернете. Легитимные сервисы иногда применяют его в ссылках, но мошенники научились использовать его для сокрытия фишинговых URL от фильтров безопасности и внимательных пользователей.

Что такое Base64

Base64 — это способ кодирования произвольных данных (включая текст и URL) в строку из 64 символов: A–Z, a–z, 0–9, + и /. Строки Base64 часто заканчиваются одним или двумя знаками = (паддинг).

Base64 не является шифрованием — это просто другой способ записать те же данные. Декодировать Base64 может любой — инструменты доступны онлайн и встроены в большинство языков программирования.

Легитимное использование Base64 в интернете:

  • Передача бинарных данных (изображений) внутри текстовых форматов
  • Хранение данных в куки и параметрах URL некоторыми сервисами
  • Часть механизмов аутентификации (HTTP Basic Auth)

Как мошенники используют Base64 для фишинга

Встраивание URL в параметры ссылки

Типичная схема: фишинговое письмо содержит ссылку на легитимно выглядящий домен, а реальный адрес назначения закодирован в Base64 в параметре. Например:

https://tracking.legitimate-mail.com/click?r=aHR0cHM6Ly9zYmVyYmFuay1zdGVhbC5ydS9sb2dpbg==

Пользователь видит tracking.legitimate-mail.com — это может выглядеть как стандартное отслеживание переходов. Но параметр r содержит Base64-строку, которая декодируется как https://sberbank-steal.ru/login.

Нажав на ссылку, пользователь сначала попадает на legitimate-mail.com, который немедленно перенаправляет на фишинговый сайт. Всё происходит мгновенно, пользователь видит только конечный сайт.

В теле HTML-письма

Некоторые фишинговые письма кодируют весь свой HTML-контент в Base64 — это обходит простые текстовые фильтры, которые ищут ключевые слова типа «password», «account», «login» в теле письма.

Многослойное кодирование

URL кодируется в Base64, затем результат снова кодируется — или комбинируется с процентным кодированием. Каждый дополнительный слой усложняет обнаружение.

Пример декодирования

Возьмём строку: aHR0cHM6Ly9vc29uLXZlcmlmeS5ydS9sb2dpbg==

После Base64-декодирования получаем: https://oson-verify.ru/login

Заметьте: «oson» — это не «ozon». Это тайпсквоттинговая атака, скрытая за слоем Base64. Комбинация двух техник делает атаку значительно сложнее для обнаружения вручную.

Почему Base64 обходит фильтры

Большинство базовых антифишинговых фильтров ищут известные вредоносные домены в явном виде. Base64-строка aHR0cHM6Ly9waGlzaGluZy5ydS8= не содержит распознаваемого URL — там нет «https://», нет знакомых слов. Фильтр не видит ссылки и пропускает письмо.

Более продвинутые системы умеют декодировать Base64 в параметрах, но это не стандартная практика для всех почтовых провайдеров.

Как обнаружить Base64 в ссылке

Признаки Base64 в URL:

  • Длинная строка из больших и маленьких букв, цифр, возможно со знаками + и / в параметре
  • Строка заканчивается на = или ==
  • Параметр называется r=, url=, redirect=, dest=, u=, link= и содержит длинную строку

2check.click автоматически обнаруживает строки, похожие на Base64, в параметрах URL, декодирует их и анализирует полученный адрес. Если внутри Base64 обнаруживается фишинговый URL — он включается в оценку риска.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Все ли Base64 строки в URL подозрительны?

Нет. Некоторые легитимные сервисы кодируют параметры в Base64 — это обычная практика. Подозрительно, когда декодированное значение является URL, указывающим на незнакомый или вредоносный домен.

Как быстро декодировать Base64 вручную?

Введите строку в любой онлайн-сервис Base64 decode. Или вставьте всю ссылку в 2check.click — анализатор сделает это автоматически и проверит содержимое.

Могут ли мошенники использовать другие алгоритмы кодирования?

Да — hex-кодирование, URL-кодирование, rot13, zlib и другие. Но Base64 самый распространённый из-за простоты использования и хорошей читаемости результата.

Что делать, если письмо содержит Base64-параметр в ссылке?

Скопируйте всю ссылку и вставьте в 2check.click. Не переходите по ссылке до проверки. Если анализатор показывает высокий риск — не открывайте.

Использует ли 2check.click рекурсивное декодирование Base64?

Да. Если после Base64-декодирования получен ещё один закодированный URL, анализатор продолжает декодирование до нескольких уровней вложенности.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи