2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Методы обфускации URL, используемые мошенниками

Мошенники постоянно совершенствуют методы сокрытия вредоносных ссылок. Понимание конкретных техник поможет вам распознавать подозрительные URL — даже когда они выглядят безобидно. Рассмотрим семь основных методов обфускации с примерами и способами обнаружения.

1. Процентное кодирование (%XX)

Стандарт RFC 3986 разрешает кодировать любые символы URL в формате %XX, где XX — шестнадцатеричный ASCII-код. Мошенники кодируют ключевые части домена, чтобы скрыть его от поверхностной проверки.

Пример: http://phish%69ng-b%61nk.ru/ — при декодировании это http://phishing-bank.ru/. Слово «phishing» замаскировано кодированием букв i и a.

Обнаружение: Декодируйте все %XX последовательности в URL. 2check.click делает это автоматически.

2. Base64 в параметрах

Base64 — алгоритм кодирования двоичных данных в текст, использующий символы A–Z, a–z, 0–9, +, /. В фишинге часто применяется для сокрытия URL в параметрах ссылки.

Пример: legit-service.com/go?dest=aHR0cHM6Ly9waGlzaGluZy1iYW5rLnJ1Lw== — параметр dest содержит Base64-закодированный URL https://phishing-bank.ru/. Пользователь видит «legit-service.com», не замечая реального назначения.

Обнаружение: Длинные строки из латинских букв, цифр и +/= в параметрах URL — признак Base64. Декодируйте через любой Base64-декодер или через 2check.click.

3. Шестнадцатеричное (hex) кодирование

IP-адреса можно записывать в шестнадцатеричном формате вместо десятичного. Кроме того, некоторые браузеры принимают hex-представление IP в ссылках.

Пример: http://0xC0A80101/ вместо http://192.168.1.1/. Такой адрес сложно распознать как IP.

Обнаружение: Наличие 0x в начале адреса — признак hex-кодирования IP. 2check.click обнаруживает такие паттерны.

4. Unicode-эскейпы

В URL и HTML-коде можно использовать unicode-эскейпы для представления символов: s — это буква s, b — b и т.д. В фишинговых письмах HTML unicode-эскейпы используются в тексте ссылок и иногда в самих URL.

Пример: http:// — это http://. При декодировании письма фильтр может не распознать URL в такой форме.

Обнаружение: Ищите паттерны \uXXXX или \xXX в исходном коде письма или ссылки.

5. Сокращатели ссылок и IP-логгеры

Простейший и самый массовый метод обфускации. Короткая ссылка не содержит никакой информации о реальном назначении — только домен сервиса сокращения.

Пример: bit.ly/3mXpQ2r — может вести куда угодно.

Обнаружение: Используйте предпросмотр (bit.ly/... + «+») или вставьте в 2check.click для разворачивания.

6. Цепочки редиректов

Несколько перенаправлений скрывают конечный адрес. Первое звено может быть полностью легитимным, что создаёт ложное чувство безопасности.

Пример: Ссылка начинается на google.com/url?q= (открытый редирект), затем ведёт на сокращатель ссылок, оттуда — на фишинговый сайт.

Обнаружение: Проследите всю цепочку редиректов. Подробнее — в руководстве цепочки редиректов.

7. Гомоглифы и смешение алфавитов

Замена отдельных символов в домене визуально похожими символами из другого алфавита (кириллица, греческий). Домен выглядит идентично, но является другим адресом.

Пример: sbеrbank.ru с кириллической «е» вместо латинской.

Обнаружение: Проверьте, нет ли смешения алфавитов в домене. 2check.click проверяет 43 пары похожих символов.

Комбинированные атаки

В реальных атаках техники часто комбинируются. Например: сокращённая ссылка (скрывает URL) → открытый редирект на легитимном сайте (обходит фильтры) → страница с параметром в Base64 (скрывает финальный URL) → фишинговый сайт с гомоглифным доменом (имитирует бренд). Каждый слой в отдельности может показаться безобидным, вместе они создают трудно распознаваемую атаку.

Как распознать обфускацию без специальных знаний

Практические признаки:

  • Множество символов % в URL
  • Длинная строка букв и цифр в параметре (aHR0... — признак Base64)
  • Числа вместо домена (http://1234567890/)
  • Несколько редиректов при переходе
  • Домен содержит непонятные символы или выглядит странно

При любом из этих признаков — вставьте ссылку в 2check.click перед переходом.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Какой метод обфускации наиболее опасен?

Гомоглифы и цепочки редиректов через легитимные домены наиболее трудны для обнаружения вручную. Процентное кодирование и Base64 легче обнаружить, но они эффективно обходят простые фильтры.

Все ли эти методы незаконны?

Сами по себе технические методы кодирования — это стандарты. Незаконно их использование в мошеннических целях: для фишинга, кражи данных, распространения вредоносного ПО.

Может ли браузер автоматически декодировать обфускацию?

Процентное кодирование декодируется браузером автоматически при отображении. Base64 в параметрах — нет. Цепочки редиректов проходят незаметно для пользователя. Именно поэтому нужны специализированные инструменты.

Как долго занимает анализ обфускации в 2check.click?

Обычно 2–5 секунд, включая разворачивание редиректов и декодирование всех слоёв.

Что такое open redirect и почему это важно?

Открытый редирект — уязвимость легитимного сайта, позволяющая использовать его для перенаправления на любой URL. Это позволяет атаке начинаться с доверенного домена. Подробнее — в руководстве открытые редиректы.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи