2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Подозрительные паттерны в URL: как читать ссылки

Умение читать URL — ценный навык в цифровом мире. Большинство фишинговых ссылок содержат характерные признаки, которые заметны при внимательном взгляде. Вот восемь паттернов, которые должны вас насторожить.

Паттерн 1: Название бренда в пути, а не в домене

Самый распространённый трюк: мошенники размещают название известной компании в пути URL, а не в домене. Доменом при этом является совершенно другой сайт.

Примеры:

  • https://secure-payment.ru/sberbank/login — домен secure-payment.ru, не Сбербанк
  • https://delivery-service.com/cdek/track — домен delivery-service.com, не СДЭК
  • https://account-verification.ru/gosuslugi/form — не Госуслуги

Правило: название бренда в пути (/sberbank/ или /ozon/) не делает домен официальным. Проверяйте домен — слово перед последней точкой и зоной.

Паттерн 2: Избыточные субдомены

Цепочка поддоменов создаёт визуальный шум, маскирующий реальный домен.

Примеры:

  • secure.account.verify.sberbank.suspicious-domain.ru — реальный домен suspicious-domain.ru
  • www.ozon.ru.payment.phish-site.com — реальный домен phish-site.com

Много точек в URL — повод найти последний домен перед зоной.

Паттерн 3: Длинные случайные строки

Длинные бессмысленные строки в домене или пути часто указывают на автоматически сгенерированные фишинговые домены или Base64-обфускацию.

Примеры: xk7d2mnp5qr.ru, hg8f3kd92lmn-banking.com

Легитимные сервисы используют читаемые домены. Исключение — идентификаторы в пути (/order/8a7f3d9c — нормально для уникальных номеров заказов).

Паттерн 4: IP-адрес вместо домена

http://185.234.67.12/sberbank/login — использование IP-адреса вместо доменного имени почти всегда признак мошенничества. Легитимные банки, маркетплейсы и госпорталы не отправляют ссылки с IP-адресами.

Паттерн 5: Необычная доменная зона

Официальные российские сервисы работают в .ru или .рф. Когда «Сбербанк» предлагает войти через sberbank.xyz или gosuslugi.top — это не официальный сайт. Доменные зоны .xyz, .top, .click, .online, .life, .pw массово используются для фишинга из-за низкой стоимости регистрации.

Паттерн 6: Очень молодой домен

Банки, маркетплейсы и госпорталы работают годами. Если домен в ссылке зарегистрирован несколько дней или недель назад — это сильный красный флаг. Проверить возраст домена можно через 2check.click. Подробнее — в руководстве возраст домена и фишинг.

Паттерн 7: Сокращатель ссылок в неподходящем контексте

Официальное уведомление от банка о подозрительной операции — и ссылка bit.ly/3xYz? Крупные финансовые учреждения не маскируют свои ссылки сторонними сокращателями в критических уведомлениях. Сокращённая ссылка в таком контексте — признак мошенничества.

Паттерн 8: Кодированные символы в подозрительных местах

Процентное кодирование нормально для кириллицы в пути URL или пробелов в параметрах поиска. Но %XX в домене (sberb%61nk.ru), символ @ в домене (sberbank@phish.ru), двойное кодирование (%252F) — признаки умышленной маскировки.

Совокупность признаков

Один признак — повод насторожиться. Несколько признаков одновременно — почти наверняка фишинг. Типичная «комбо-атака»: молодой домен + название бренда в пути + сокращённая ссылка + давление срочности в тексте.

Быстрая проверка любой ссылки

Если вы заметили хотя бы один из восьми паттернов — вставьте ссылку в 2check.click. Анализатор автоматически проверит все описанные признаки и даст общую оценку риска.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Достаточно ли одного подозрительного паттерна для вывода о фишинге?

Один паттерн — повод проверить. Окончательный вывод делается на основе совокупности признаков. Один необычный TLD у стартапа — не обязательно фишинг. Молодой домен + бренд в пути + запрос данных карты — почти наверняка фишинг.

Что делать, если URL очень длинный и непонятный?

Скопируйте и вставьте в 2check.click. Анализатор разберёт все компоненты, включая параметры и редиректы.

Могут ли легитимные сайты содержать несколько субдоменов?

Да — например, account.google.com или online.sberbank.ru. Ключевой вопрос: кому принадлежит основной домен (google.com или sberbank.ru)? Если он официальный — субдомены нормальны.

Всегда ли IP-адрес в ссылке — это опасно?

Для потребительских сервисов — да, это почти всегда признак мошенничества. В корпоративных внутренних сетях IP-адреса в ссылках встречаются по техническим причинам, но в публичных письмах — не должны.

Может ли HTTPS быть на фишинговом сайте?

Да. Получить SSL-сертификат сегодня можно бесплатно за минуты. Замочек HTTPS не означает, что сайт легитимный.

Как научиться быстро читать URL?

Практика. Начните замечать домен в каждой ссылке, которую открываете — это занимает секунды. Задавайте один вопрос: «Кому принадлежит этот домен, и совпадает ли это с тем, кто якобы отправил ссылку?»

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи