2check.click

3 мин. чтения Обновлено: июнь 2026 г.

Цепочки редиректов: как мошенники прячут финальный адрес

Когда вы переходите по ссылке, браузер не всегда попадает напрямую на конечную страницу. Иногда происходят промежуточные перенаправления: сервер отвечает кодом 301 или 302 и указывает новый адрес, браузер автоматически переходит туда, и так несколько раз. Это и есть цепочка редиректов. Для пользователя всё происходит мгновенно — но за это мгновение ссылка может несколько раз сменить адрес назначения.

Зачем нужны редиректы: легитимное использование

Редиректы — нормальная часть работы веба:

  • Перенаправление со старого URL на новый при обновлении сайта (301)
  • Переход с HTTP на HTTPS (301)
  • Отслеживание кликов в маркетинговых рассылках — ссылка сначала проходит через сервер аналитики
  • Балансировка нагрузки и CDN-инфраструктура
  • Авторизация через SSO (Single Sign-On)

Один-два редиректа на пути к цели — норма. Но три, четыре, пять редиректов через разные домены — повод насторожиться.

Почему мошенники используют цепочки редиректов

Первый шаг — легитимный домен

Фишинговое письмо содержит ссылку на google.com/url?q=... или на корпоративный сервис отслеживания кликов. Антифишинговый фильтр проверяет первый домен в ссылке — он чистый. Что происходит дальше, фильтр не анализирует.

Динамическое перенаправление

Финальный адрес может меняться в зависимости от времени суток, IP-адреса пользователя, браузера. Исследователь безопасности, проверяющий ссылку, получает «безобидную» страницу. Жертва в нужный момент — фишинговый сайт.

Защита от блокировок

Если один промежуточный домен блокируют, его легко заменить, не меняя первоначальную ссылку.

Типичные схемы

Схема 1: открытый редирект на легитимном сайте

Ссылка: https://accounts.google.com/ServiceLogin?continue=https://phishing.ru/login

Параметр continue говорит Google, куда перейти после аутентификации. Если пользователь уже вошёл — Google немедленно перенаправляет на phishing.ru. В письме виден только google.com.

Схема 2: сокращатель → посредник → цель

vk.cc/aBcDeF → redirect-service.com/track?url=... → phishing-bank.ru/login

Три домена в цепочке, только последний вредоносный.

Схема 3: взломанный сайт как промежуточное звено

Мошенники взламывают легитимный сайт (например, небольшой интернет-магазин) и добавляют на него редирект. Теперь ссылка на этот магазин ведёт на фишинговый сайт — и репутация взломанного домена работает на мошенников.

Как 2check.click анализирует цепочки редиректов

Анализатор отправляет HTTP-запросы (HEAD-метод, без загрузки содержимого страниц) и прослеживает все редиректы до конечного адреса. Для каждого промежуточного домена проверяются:

  • Репутация и возраст домена
  • Признаки открытого редиректа
  • Резкая смена домена (особенно подозрительно: первый домен — легитимный бренд, следующий — неизвестный)
  • Финальный домен анализируется так же, как при прямом вводе URL

Результаты показываются в виде цепочки с оценкой риска для каждого шага.

Как распознать подозрительный редирект самостоятельно

  • Ссылка содержит параметры redirect=, url=, r=, go=, continue= — это классические признаки редиректа
  • Первый домен в ссылке и домен открывшейся страницы — разные
  • В адресной строке мелькают разные домены при загрузке страницы

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Сколько редиректов — это нормально?

Один-два редиректа для технических нужд — нормально. Три и больше без явной причины (особенно через разные незнакомые домены) — повод для проверки.

Могут ли редиректы происходить со стороны клиента (JavaScript), а не сервера?

Да. JavaScript-редиректы (meta refresh или window.location) не отражаются в HTTP-заголовках. 2check.click использует HEAD-запросы и видит HTTP-редиректы; JavaScript-редиректы анализируются по параметрам URL.

Что такое «открытый редирект»?

Открытый редирект — уязвимость легитимного сайта, позволяющая использовать его для перенаправления на произвольный URL. Подробнее — в руководстве открытые редиректы: уязвимость.

Всегда ли подозрительны ссылки на google.com/url?q=?

Нет. Google AMP Cache и некоторые легитимные сервисы Google используют подобные перенаправления. Но если параметр q= содержит незнакомый URL — проверьте его перед переходом.

Как посмотреть цепочку редиректов вручную?

В браузере: открыть Developer Tools → Network → найти строку с переходами. Также можно использовать curl -L -I «URL» — флаг -L прослеживает редиректы, -I показывает только заголовки. Подробнее — в руководстве как обнаружить цепочки редиректов.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи