2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Атаки с использованием похожих символов (гомографы)

Гомографическая атака — один из наиболее коварных видов фишинга. В отличие от простых опечаток, при гомографической атаке домен визуально выглядит идентично настоящему, но содержит символы из другого алфавита. Вы смотрите на адрес и не видите ничего подозрительного — а на самом деле перед вами совершенно другой домен.

Как это работает: кириллица вместо латиницы

В Unicode существуют тысячи символов из разных языков. Многие из них визуально неотличимы от латинских букв. Например:

  • Кириллическая «а» (U+0430) выглядит как латинская «a» (U+0061)
  • Кириллическая «е» (U+0435) — как латинская «e» (U+0065)
  • Кириллическая «о» (U+043E) — как латинская «o» (U+006F)
  • Кириллическая «с» (U+0441) — как латинская «c» (U+0063)
  • Кириллическая «р» (U+0440) — как латинская «p» (U+0070)

Используя эти символы, можно создать домен, который выглядит как sberbank.ru, но на самом деле содержит кириллические буквы — и принадлежит другому человеку.

Punycode: что браузер скрывает

Доменная система (DNS) работает только с ASCII-символами. Домены с символами Unicode преобразуются в punycode — специальное ASCII-представление. Например, домен с кириллической «а» в слове «apple» превратится в xn--pple-43d.com. Браузеры обычно показывают «читаемую» форму — и именно в этом опасность. Если браузер решил отобразить punycode как читаемый вариант, а вы не заметили смешения алфавитов — вы можете принять поддельный домен за настоящий.

Современные браузеры стали осторожнее: Chrome и Firefox отображают punycode для подозрительных доменов со смешением алфавитов. Но это правило действует не всегда и не для всех доменных зон.

Почему это особенно опасно для русскоязычных пользователей

Кириллица содержит больше десятка букв, визуально идентичных латинским: а, е, о, с, р, х, у, В, М, Т. Это означает, что русскоязычный пользователь особенно уязвим: привычные кириллические символы могут оказаться в «латинском» домене, делая атаку практически незаметной.

Обратное тоже работает: в кириллическом домене (.рф) можно использовать латинские буквы, неотличимые от кириллических — хотя Роскомнадзор старается блокировать подобные регистрации.

Другие алфавиты в гомографических атаках

Кроме кириллицы, злоумышленники используют:

  • Греческий алфавит: греческая «ο» (омикрон) визуально идентична латинской «o»; греческая «α» — латинской «a».
  • Цифры вместо букв: «0» вместо «O», «1» вместо «l» (строчная L), «5» вместо «S».
  • IPA и другие расширения Unicode: существуют сотни символов, похожих на стандартные латинские буквы.

Реальные примеры

В 2017 году исследователь Xudong Zheng зарегистрировал домен, который в Chrome отображался как «apple.com» — но содержал символы из другого алфавита. Пользователи не могли отличить его от настоящего apple.com без просмотра punycode. Это вызвало широкое обсуждение в отрасли и заставило браузерных разработчиков усилить защиту.

В России аналогичные атаки направлены на бренды Сбербанк, Госуслуги, Авито — там, где пользователи ожидают увидеть знакомый домен и могут пропустить замену одного символа.

Как 2check.click обнаруживает гомографы

Анализатор проверяет каждый символ в домене и выявляет смешение алфавитов (латиница + кириллица, латиница + греческий и т.д.). Используется база из 43 пар визуально похожих символов. Если в домене обнаружен кириллический символ среди латинских — это сигнал высокого риска. Кроме того, анализатор сравнивает нормализованный домен (все символы приведены к одному алфавиту) с базой известных брендов.

Как защититься

  • Используйте закладки для важных сайтов — не набирайте адреса вручную
  • При подозрении скопируйте адрес в текстовый редактор и посмотрите на него внимательно
  • Включите отображение punycode в настройках браузера (в некоторых браузерах это возможно)
  • Вставьте подозрительную ссылку в 2check.click — анализатор обнаружит смешение символов

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Как отличить гомографический домен от настоящего, глядя на него?

Визуально — практически никак. Именно в этом и заключается опасность. Надёжнее всего использовать закладки для часто посещаемых сайтов и проверять незнакомые ссылки через 2check.click.

Все ли браузеры показывают punycode для подозрительных доменов?

Нет. Chrome и Firefox применяют эвристику и показывают punycode для доменов со смешением алфавитов, но не во всех случаях. Safari имеет собственные правила. Поведение зависит от версии браузера и конкретного домена.

Могут ли мошенники зарегистрировать точную копию sberbank.ru с кириллическими символами?

В зоне .ru регистраторы применяют правила против смешения алфавитов, но обойти их иногда удаётся, особенно в других доменных зонах (.com, .net, .online). Поэтому сайт «Сбербанка» в .com с кириллическими символами технически возможен.

Работает ли обнаружение гомографов в 2check.click?

Да, это один из ключевых модулей анализатора. Проверяются все символы домена на предмет смешения алфавитов и соответствия базе пар похожих символов (43 маппинга).

Что такое IDN-атака?

IDN (Internationalized Domain Names) — это механизм, позволяющий использовать не-ASCII символы в доменах. Гомографическая атака — это злоупотребление IDN. Термины «IDN-атака» и «гомографическая атака» часто используются как синонимы.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи