2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Как фишинговые ссылки обходят фильтры безопасности

Антифишинговые фильтры в почтовых сервисах, браузерах и корпоративных шлюзах блокируют миллионы угроз ежедневно. Но фишинговые атаки по-прежнему достигают своих жертв. Как мошенникам удаётся обходить современные средства защиты?

Как работают фильтры безопасности

Чтобы понять, как их обойти, нужно знать, как они работают. Основные методы фильтрации:

  • Репутация домена. Известные вредоносные домены вносятся в чёрные списки. Письма с ссылками на такие домены блокируются.
  • Анализ ключевых слов. Письма с фразами «введите пароль», «счёт заблокирован», «срочно» проверяются тщательнее.
  • Проверка ссылок. URL в письмах сопоставляются с базами вредоносных сайтов (Google Safe Browsing, PhishTank и другими).
  • SPF/DKIM/DMARC. Проверка подлинности отправителя.
  • Репутация IP-адреса отправителя. Новые или замеченные в спаме IP блокируются.

Техника 1: Свежезарегистрированные домены

Новый домен не числится ни в одной базе вредоносных сайтов. Фильтрам нечего ему предъявить — репутации нет. Мошенники используют это окно: запускают атаку, пока домен «чистый», а после блокировки переходят на следующий заготовленный домен.

Именно поэтому проверка возраста домена — ценный сигнал, который фильтры зачастую игнорируют, а 2check.click учитывает.

Техника 2: Использование легитимного хостинга

Мошенники размещают фишинговые страницы на облачных платформах (Google Drive, OneDrive, GitHub Pages, Cloudflare Pages) или взламывают легитимные сайты. Домен google.com или legit-store.ru имеет безупречную репутацию. Фильтр видит знакомый домен — пропускает. Содержимое страницы фильтр не анализирует.

Техника 3: Кодирование и обфускация

Процентное кодирование, Base64 в параметрах, гомоглифные домены — всё это скрывает реальный адрес от текстовых фильтров. Примитивный фильтр ищет строку «sberbank-steal.ru» и не находит её, потому что написано «sb%65rbank-steal.ru». Более продвинутый фильтр умеет декодировать, но не все делают это достаточно глубоко.

Техника 4: Click-time редирект

Один из самых эффективных методов. На момент проверки фильтром ссылка ведёт на безобидную страницу — пустую, или на легитимный сайт. Через несколько часов, когда письмо уже доставлено, URL начинает перенаправлять на фишинговый сайт. Фильтр уже не перепроверяет доставленные письма в реальном времени.

Более продвинутые решения (Microsoft Defender for Office 365, Google Workspace) применяют «time-of-click protection» — проверяют ссылку повторно в момент клика. Но это есть только в премиальных корпоративных решениях.

Техника 5: Письма с изображениями вместо текста

Весь текст письма помещается в изображение (JPG или PNG), а не в HTML-текст. Текстовые фильтры не могут прочитать содержимое изображения. Ссылка может быть вставлена как область изображения-кнопки. OCR (распознавание текста в изображениях) применяется не везде и не всегда точно.

Что фильтры не могут сделать

Даже самые продвинутые системы фильтрации имеют принципиальные ограничения:

  • Не могут проверить содержимое страницы (только URL)
  • Не успевают за свежезарегистрированными доменами
  • Не защищают от атак через личные каналы (мессенджеры, приватные соцсети)
  • Не могут распознать персонализированный спир-фишинг без технических красных флагов

Как ручная проверка дополняет фильтры

Ручная проверка подозрительных ссылок через 2check.click дополняет автоматические фильтры именно там, где те слабее всего: свежие домены, структурные признаки обфускации, несоответствие бренда домену, цепочки редиректов. Это занимает несколько секунд, но закрывает значительную часть пробелов в автоматической защите.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Если письмо прошло через фильтр Gmail или Яндекс — оно точно безопасно?

Нет. Фильтры значительно снижают риск, но не устраняют его полностью. Особенно уязвимы ссылки, использующие новые домены или легитимный хостинг для промежуточного шага.

Помогают ли корпоративные решения типа Microsoft Defender лучше, чем бесплатные?

Да, корпоративные решения часто включают проверку ссылок в момент клика и более глубокий анализ. Но они не защищают личных пользователей и не доступны всем.

Что такое «sandboxing» в контексте email-безопасности?

Некоторые системы открывают ссылки из писем в изолированной среде (sandbox) и анализируют поведение страницы. Это эффективно, но ресурсоёмко и применяется не повсеместно.

Помогает ли антивирус на компьютере против фишинга?

Антивирусы с модулями веб-защиты блокируют переходы на известные фишинговые сайты. Но против свежих доменов эффективность ограничена.

Можно ли полностью защититься от фишинга?

Абсолютной защиты нет. Многоуровневый подход даёт наилучший результат: актуальный браузер с Safe Browsing, бдительность при получении подозрительных сообщений, проверка ссылок перед переходом, двухфакторная аутентификация на всех важных аккаунтах.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи