2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Как злоумышленники скрывают вредоносные ссылки

Задача мошенника — заставить вас перейти по ссылке, не вызвав подозрений. Для этого ссылка должна либо выглядеть безобидной, либо быть скрыта так, что проверить её сложно. Шесть основных техник, которые используются в современных фишинговых атаках.

Техника 1: Домены-двойники

Мошенник регистрирует домен, похожий на целевой бренд: ozon-order.ru, sberbank-security.ru, avito-safe-deal.ru. При беглом взгляде эти адреса могут показаться официальными — особенно в контексте убедительного письма или SMS.

Подвид этой техники — тайпсквоттинг: намеренные опечатки (ozzon.ru, sberbannk.ru) рассчитаны на то, что пользователь не заметит лишнюю букву. Подробнее — в руководстве что такое тайпсквоттинг.

Техника 2: Трюки с поддоменами

Злоумышленники создают поддомены своего домена с названиями известных брендов: sberbank.ru.phish-site.com, gosuslugi.gov.fake-auth.ru. Пользователь видит знакомое имя в начале URL и не замечает, что реальный домен стоит в конце.

Это особенно эффективно, потому что многие не знают правила: главный домен — это слово непосредственно перед зоной (.ru, .com), а всё левее — поддомены.

Техника 3: Сокращатели ссылок и IP-логгеры

Короткие ссылки скрывают конечный адрес. vk.cc/aBcDef может вести на официальный сайт, а может — на фишинговую страницу. В SMS с ограниченной длиной это стандартный инструмент мошенников.

IP-логгеры (grabify.link, iplogger.ru) фиксируют ваш IP и данные браузера при переходе — даже без ввода каких-либо данных. Подробнее — в руководстве безопасны ли укороченные ссылки.

Техника 4: Кодирование и обфускация

Процентное кодирование букв домена, Base64 в параметрах, unicode-эскейпы — всё это скрывает реальный адрес от фильтров и невнимательных глаз. Ссылка https://secure%2Esberbank%2Dsteal.ru/ выглядит запутанно, но при декодировании — прямой адрес мошеннического сайта.

Техника 5: Цепочки редиректов через легитимные домены

Ссылка начинается с известного домена — Google, Яндекс, корпоративный портал — и через серию перенаправлений ведёт на фишинговый сайт. Фильтры видят только первый домен. Пользователь замечает знакомый адрес и успокаивается. Подробнее — в руководстве цепочки редиректов.

Техника 6: Гомоглифы

Замена одного символа в домене визуально похожим из другого алфавита: кириллическая «а» вместо латинской в «sberbank», кириллическая «е» в «ozon». Получившийся домен — sbеrbank.ru или ozoп.ru — выглядит идентично оригиналу, но технически является другим адресом.

Комбинированные атаки

Наиболее опасны атаки, сочетающие несколько техник одновременно. Типичный сценарий:

  1. SMS с коротой ссылкой (скрывает URL)
  2. Ссылка ведёт через открытый редирект на Google (обходит фильтры)
  3. Конечный URL содержит гомоглифный домен (имитирует бренд)
  4. На странице форма входа с процентно-закодированным параметром (дополнительная обфускация)

Каждый слой в отдельности может показаться безобидным. Вместе они создают атаку, которую сложно обнаружить вручную.

Как 2check.click раскрывает сокрытые ссылки

Анализатор применяет все модули последовательно:

  • Разворачивает сокращённые ссылки и прослеживает редиректы
  • Декодирует процентное кодирование, Base64, unicode-эскейпы, hex
  • Проверяет смешение алфавитов в домене (43 пары похожих символов)
  • Сравнивает доменное имя с базой брендов на предмет тайпсквоттинга
  • Проверяет возраст домена через RDAP
  • Анализирует структурные паттерны URL

Результат — общая оценка риска с объяснением каждого найденного сигнала.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Можно ли обнаружить все техники маскировки вручную?

Некоторые — да (опечатки в домене заметны при внимательном взгляде). Гомоглифы и цепочки редиректов практически невозможно обнаружить без специальных инструментов.

Какая техника наиболее опасна?

Цепочки редиректов через легитимные домены и гомоглифы — потому что они выглядят наиболее убедительно даже для технически грамотных пользователей.

Защищают ли браузерные расширения от всех техник?

Расширения типа Safe Browsing блокируют известные вредоносные домены. Но против свежезарегистрированного домена, гомоглифов или редиректов через легитимные сайты они часто бессильны.

Насколько быстро мошенники адаптируют свои техники?

Очень быстро. Как только новая техника маскировки становится известной и начинает блокироваться, появляются новые вариации. Именно поэтому статичные базы вредоносных сайтов всегда отстают от реальности.

Что самое важное при работе с незнакомой ссылкой?

Никогда не торопитесь. Создание срочности — ключевой инструмент мошенников. Потратьте 15 секунд на проверку через 2check.click — это лучше, чем потерять доступ к банковскому аккаунту.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи