Что такое обфускация URL
Обфускация URL (от латинского obfuscāre — затемнять, скрывать) — это совокупность техник, применяемых для маскировки реального адреса ссылки. Мошенники обфусцируют URL по двум основным причинам: чтобы обойти технические фильтры безопасности и чтобы скрыть истинный адрес от пользователя. Понимание этих техник помогает замечать опасные ссылки там, где они кажутся безобидными.
Зачем мошенники скрывают URL
Обход фильтров безопасности
Антифишинговые системы — в браузерах, почтовых сервисах, корпоративных шлюзах — проверяют ссылки по базам известных вредоносных адресов и анализируют их структуру. Если URL закодирован или скрыт за редиректом через легитимный домен, фильтр может его не распознать.
Скрытие истинного назначения от пользователя
Даже внимательный человек, привыкший проверять ссылки, может не заметить обфускацию. Закодированный в Base64 URL в параметре, сокращённая ссылка, цепочка редиректов через Google — всё это создаёт дополнительные барьеры для проверки.
Обзор основных техник обфускации
Процентное кодирование
В URL допустимо кодировать символы в формате %XX, где XX — шестнадцатеричный код ASCII. Например, «a» → %61, «.» → %2E, «/» → %2F. Настоящий URL может выглядеть так: http://www%2Eshady%2Dsite%2Eru/ — при декодировании это http://www.shady-site.ru/. Такое кодирование может скрыть вредоносный домен от поверхностной проверки.
Сокращатели ссылок
bit.ly, vk.cc, clck.ru скрывают конечный адрес за коротким URL. Один из самых простых и распространённых способов сокрытия.
Цепочки редиректов
Ссылка ведёт не напрямую на фишинговый сайт, а через цепочку промежуточных страниц: легитимный домен → посредник → ещё один → цель. Первое звено цепочки может быть абсолютно законным, что затрудняет проверку.
Гомоглифы и смешение алфавитов
Замена символов в домене визуально похожими символами из другого алфавита. Подробнее — в руководстве гомографические атаки.
Base64 кодирование
URL кодируется в Base64 и помещается в параметр ссылки: legit-site.com/redirect?url=aHR0cHM6Ly9waGlzaGluZy5ydQ== — после декодирования это https://phishing.ru.
Числовые IP-адреса
Домен можно заменить числовым представлением IP-адреса или даже преобразовать его в 32-битное целое число. http://2130706433/ — это http://127.0.0.1/. Пользователь не ожидает увидеть такой адрес.
Комбинирование техник
Наиболее сложные атаки используют несколько техник одновременно. Например: сокращённая ссылка ведёт через цепочку редиректов, один из которых использует открытый редирект на легитимном сайте, и в конечном URL параметр содержит Base64-закодированный адрес фишинговой страницы. Каждый слой по отдельности может показаться безобидным.
Как 2check.click справляется с обфускацией
Анализатор применяет несколько модулей декодирования последовательно:
- Разворачивание цепочек редиректов — прослеживание всех переходов до конечного URL
- Декодирование процентного кодирования в URL
- Декодирование Base64 в параметрах
- Обнаружение гомоглифов в домене
- Распознавание известных сокращателей
- Обнаружение unicode-эскейпов и hex-кодирования
После декодирования полученный домен анализируется на признаки фишинга — возраст, соответствие брендам, структурные паттерны.
Проверьте подозрительную ссылку
Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.
Часто задаваемые вопросы
Любое ли кодирование в URL опасно?
Нет. Процентное кодирование — нормальная часть стандарта URL, используется для корректной передачи специальных символов. Опасность возникает, когда кодирование применяется специально для сокрытия вредоносного домена или обхода фильтров.
Могут ли фильтры безопасности распознать обфускацию?
Некоторые — да. Современные системы умеют декодировать стандартные техники кодирования. Но комбинированные атаки или нестандартные методы часто проходят незамеченными.
Что делать, если URL в ссылке выглядит непонятно?
Если URL содержит непонятные символы, длинные строки в параметрах, знак % во множестве мест или строку, похожую на Base64 — вставьте его в 2check.click перед переходом.
Опасен ли IP-адрес вместо домена в ссылке?
IP-адрес вместо доменного имени — серьёзный красный флаг. Легитимные сервисы (банки, маркетплейсы, госпорталы) не используют IP-адреса в ссылках для пользователей.
Можно ли самостоятельно декодировать обфусцированный URL?
Простые случаи — да. Процентное кодирование и Base64 декодируются онлайн-инструментами или вручную. Но для сложных цепочек с редиректами удобнее использовать специализированный анализатор.