Якщо раніше заразити комп’ютер вірусом можна було, просто відкривши вебсторінку зі шкідливим скриптом або завантаживши інфікований файл, то сьогодні мережеві атаки стали помітно витонченішими. Дедалі частіше зловмисники вдаються до викрадення сесій та файлів cookie, а також методів соціальної інженерії — передусім фішингу. Це різновид інтернет-шахрайства, мета якого полягає в тому, щоб виманити в користувача цінні дані за допомогою підроблених сайтів.
Зазвичай це виглядає так: людина шукає в мережі магазини з потрібним товаром або чесні онлайн-казино, переходить за запропонованим посиланням, потрапляє на фальшивий сайт, реєструється та вносить депозит. У результаті її гроші й персональні дані опиняються в руках зловмисників. Найчастіше це стається не через технічну витонченість атаки, а через банальну неуважність самого користувача. Підроблені сайти зазвичай не так вже й складно розпізнати — якщо знати, на що звертати увагу. У цій статті ми розглянемо дев’ять ознак, що вказують на підміну домену.
Тайпсквоттинг
Один із найдавніших способів підміни URL сайту. Щоб заманити користувача на підроблену сторінку, зловмисники реєструють адресу із дуже схожою назвою. Наприклад, якщо справжній ігровий сайт в адресі називається casino, то у шахраїв це може бути cazino. Побачивши знайому назву, людина автоматично переходить за посиланням, не перевіряючи її точність.
Неправильна доменна зона
Інший спосіб підміни пов’язаний із використанням іншого домену верхнього рівня, наприклад, .com замість .ua. Така заміна виглядає більш очевидною, однак користувачі нерідко її ігнорують, сприймаючи шахрайський сайт за офіційне дзеркало справжнього ресурсу. Дзеркала часто використовують казино зі швидкими виплатами, наприклад, в разі технічних проблем, тому під час відвідування подібних сайтів варто бути особливо уважними.
Використання піддоменів
URL-адреси популярних сайтів зазвичай мають просту структуру другого рівня — наприклад, brand.com. У фішингових ресурсів адреси виглядають інакше, наприклад: brand.magazin.com. У цьому випадку реальним доменом є magazin.com, а назву бренду лише додали на початку, щоб приспати пильність користувача.
Відсутність або дивний SSL-сертифікат
Відсутність SSL-сертифіката — значка замка або щита в адресному рядку — має насторожити. Втім, сама його наявність ще не гарантує безпеку. Якщо сайт викликає сумніви, варто перевірити його сертифікат на спеціалізованих сервісах на кшталт Qualys SSL Labs, які показують детальну інформацію про рівень захисту та організацію, що видала цифровий сертифікат.
Короткі посилання без попереднього перегляду
Скорочені посилання часто використовують у розсилках і рекламі не стільки для приховування кінцевого URL, скільки заради більш охайного вигляду. Саме по собі коротке посилання не є ознакою фішингу, однак популярні сайти зазвичай не вдаються до таких практик. Тому, якщо ви вирішили перейти на сайт, варто заздалегідь перевірити скорочене посилання за допомогою декодера — такі «розшифровувачі» без проблем можна знайти в інтернеті.
Незвичний вигляд URL
Якщо в адресі сайту використовуються нетипові для URL символи — кілька дефісів поспіль, велика кількість цифр і крапок або спеціальні знаки, — це привід для додаткової перевірки ресурсу. У надійних і популярних сайтів адреси, як правило, прості; цифри зазвичай застосовують лише в офіційних дзеркалах.
Редирект під час входу на сайт
Легальні сайти рідко використовують автоматичні перенаправлення — хіба що під час переїзду на інший домен. Для фішингових ресурсів така практика, навпаки, досить характерна. Тому, якщо ви зіткнулися з подібною поведінкою сайту, краще відмовитися від користування його послугами.
Unicode-обфускація
Це один із найскладніших для розпізнавання видів підміни доменного імені, адже зловмисники замінюють латинські символи в URL кириличними або грецькими. Відповідно, візуально таке посилання може виглядати точно так само, як і оригінальна адреса. Втім, і таку підробку можна виявити. Сучасні браузери вміють відображати подібні URL у форматі Punycode: якщо навести курсор на посилання, у рядку стану воно відобразиться у своєму справжньому вигляді.
Психологічний тиск
Фішинг часто грає на емоціях користувачів, підштовхуючи їх до негайних дій. Тригери зазвичай звучать агресивно: «ваш акаунт буде заблоковано», «ви виграли великий приз», «отримайте доступ до секретного чату» — і так далі. Сайти з такими пропозиціями краще оминати стороною.
Захиститися від фішингу не так вже й складно: достатньо зберігати уважність і дотримуватися базових правил цифрової гігієни. Найпростіше й водночас ефективне правило — завжди перевіряти адреси сайтів, а переконавшись у їхній надійності, зберігати URL у вбудованому менеджері паролів браузера. Також не зайвим буде використання антивірусного програмного забезпечення з функцією перевірки вебадрес за базами фішингових ресурсів.