Что такое фишинговая ссылка?

Блог

Фишинговая ссылка — это вредоносный URL-адрес, предназначенный для кражи ваших данных или установки вредоносного ПО. Узнайте, как распознать фишинговые ссылки, прежде чем на них нажимать, и что делать, если вы уже на них нажали.

Милена Багдасарян

Последнее обновление:
8 Время чтения: 8 минут
Что такое фишинговая ссылка?
Оглавление-

Ключевые выводы

  • Фишинговые ссылки — это основной способ, который злоумышленники используют для кражи учетных данных или установки вредоносного ПО
  • Большинство фишинговых атак рассчитаны на то, что пользователи, поддавшись чувству срочности и доверия, нажмут на ссылку, не проверив её
  • Такие мелкие детали URL-адреса, как орфографические ошибки, подозрительные домены или скрытые перенаправления, часто свидетельствуют о злонамеренных намерениях
  • Один-единственный клик может привести к краже учетных данных, заражению вредоносным ПО или длительному взлому учетной записи
  • Надежная аутентификация электронной почты, такая как DMARC, в сочетании с информированностью пользователей обеспечивает наилучшую защиту

Представьте, что вы просматриваете свой почтовый ящик в напряженное утро вторника. Вы видите срочное уведомление от банка или сообщение об отправке посылки, которую, как вам кажется, вы не заказывали. В обоих случаях есть кнопка или URL-адрес, и оба сообщения рассчитаны на то, чтобы вызвать у вас панику. Именно эта единственная ссылка является ключевым моментом в современной кибербезопасности. Такой тип атак, который часто называют URL-фишингом, основан на использовании обманчивых ссылок, с первого взгляда выглядящих вполне легитимными.

По данным CISA, фишинг по-прежнему остается наиболее распространенной формой кибератак, на долю которой приходится более 90% всех утечек данных. Хотя сами мошеннические схемы сложны, «фишинговая ссылка» является основным средством доставки. Эти вредоносные URL-адреса поступают по электронной почте, в SMS-сообщениях (смишинг), в личных сообщениях в социальных сетях и даже в виде напечатанных QR-кодов (квишинг). Понимание того, как работают эти ссылки, — это разница между обеспечением безопасности вашей цифровой жизни и передачей ключей от нее совершенно незнакомому человеку.

В этом руководстве мы подробно расскажем, как распознать такие ссылки до того, как на них нажать, что произойдет, если вы случайно нажмете, и какие меры необходимо принять, чтобы исправить ситуацию.

Фишинговая ссылка — это вредоносный URL-адрес, внешне выглядящий как легитимный, который используется для того, чтобы обманом заставить пользователей раскрыть учетные данные или личную информацию либо инициировать загрузку вредоносного ПО. Это не самостоятельная атака, а средство доставки, связывающее обманчивое сообщение с вредоносным ресурсом. Нажимая на такую ссылку, пользователь, сам того не подозревая, создает мост между безопасной средой и инфраструктурой злоумышленника.

Как работает фишинговая ссылка--

Фишинговая атака — это не просто случайная ссылка, а тщательно продуманный психологический и технический процесс. Вот как этот механизм работает с точки зрения пользователя:

1. Настройка

Злоумышленник создает убедительное сообщение, как правило, в виде электронного письма или SMS, имитирующее сообщение от известной компании, такой как Microsoft, Amazon или местный банк. В сообщении используются приемы «социальной инженерии», такие как вызывание страха, ощущения срочности или любопытства, чтобы побудить пользователя к действию.

2. Щелчок

Пользователь нажимает на ссылку, доверяя контексту отправителя. Например, ссылка «Сбросить пароль» в электронном письме, которое выглядит в точности как стандартное уведомление.

3. Полезная нагрузка

Пользователь попадает на поддельную целевую страницу, предназначенную для сбора учетных данных, таких как имена пользователей и пароли. В более серьезных случаях ссылка запускает «автоматическую загрузку», при которой вредоносное ПО устанавливается незаметно в фоновом режиме без какого-либо дополнительного участия пользователя.

4. Эксплуатация

Как только данные похищены или устройство взломано, злоумышленник использует полученный доступ для совершения финансового мошенничества, кражи личных данных или в качестве плацдарма для более масштабной атаки с использованием программ-вымогателей на корпоративную сеть.

Злоумышленники используют различные методы для маскировки вредоносных URL-адресов, чтобы обойти как интуицию пользователей, так и базовые фильтры безопасности.

Они основаны на незначительных орфографических ошибках, которые человеческий глаз часто упускает из виду при беглом просмотре.

  • Пример: amazon-secure.net или wellsfarg0.com вместо официальных доменов. Из-за этого с первого взгляда бывает сложно отличить подлинный сайт от мошеннического.

Это более изощрённый метод, при котором злоумышленники используют символы Unicode из разных алфавитов, внешне неотличимые от латинских букв.

  • Пример: Кириллическая буква «а» может заменить латинскую букву «a». Для браузера адрес apple.com (с кириллической буквой «а») представляет собой совершенно другой ресурс, чем настоящий apple.com, хотя для пользователя они выглядят одинаково.

Сокращённые URL-адреса

Такие сервисы, как Bitly или TinyURL, полезны для социальных сетей, но становятся настоящим подарком для фишеров, поскольку скрывают истинный адрес за набором случайных символов.

  • Пример: ссылка типа bit.ly/3xK7zY9 может вести как на легитимный документ, так и на сайт, предназначенный для кражи учетных данных; пользователь не может этого узнать, пока страница не загрузится.

Злоумышленники часто используют «открытые перенаправления» на легитимных, пользующихся высоким доверием веб-сайтах. Они находят надежный домен, который позволяет с помощью параметра URL перенаправлять пользователей на другие сайты.

  • Пример: https://trusted-site.com/redirect?url=malicious-site.com. Поскольку ссылка начинается с названия бренда, которому вы доверяете, системы безопасности пропускают её, и пользователи с большей вероятностью разрешают её открытие.

Вредоносные URL-адреса всё чаще встраиваются в QR-коды, чтобы обойти традиционный визуальный контроль. Поскольку человек не может «прочитать» код, ссылка остается невидимой до момента сканирования.

  • Пример: поддельная наклейка, наклеенная поверх настоящего QR-кода на парковочном счетчике, которая ведет на сайт pay-parking-portal.xyz вместо официального приложения города для оплаты парковки.

В 2025 и 2026 годах все большую популярность приобретает метод, при котором злоумышленники отправляют «изображения» или «документы», которые на самом деле являются мини-веб-страницами. При открытии эти файлы запускаются локально в браузере, что позволяет обойти средства проверки электронной почты.

  • Пример: вложение с именем Invoice_99.svg. При открытии в нем появляется поддельное окно входа в Microsoft 365, которое выглядит как системный запрос, но на самом деле представляет собой скрипт, предназначенный для кражи вашего пароля.

Этот вектор атаки использует функцию «автоматического принятия» в многих приложениях-календарях. Злоумышленники отправляют приглашение на встречу, которое автоматически появляется в вашем расписании, зачастую сопровождаясь уведомлением.

  • Пример: событие в календаре под названием «Срочно: пересмотр заработной платы в отделе кадров», содержащее ссылку типа company-hr-portal.web.app. Поскольку уведомление поступает из вашего собственного приложения-календаря, оно выглядит более достоверным и срочным.

Совет: перед тем как перейти по ссылке, всегда наведите курсор (на компьютере) или нажмите и удерживайте (на мобильном устройстве), чтобы посмотреть URL-адрес, на который она ведет. Если ссылка пришла в неожиданном приглашении в календарь или в виде вложения в формате HTML, относитесь к ней с особой осторожностью.

Последствия одного клика могут проявиться сразу или через некоторое время, и они не всегда заметны.

  1. «Призрачное» перенаправление: чтобы отвлечь ваше внимание, многие фишинговые сайты перенаправляют вас на настоящий, легитимный сайт после ввода пароля. Вы можете подумать, что при входе в систему просто «произошел сбой», в то время как злоумышленник уже получил доступ к вашим учетным данным.
  2. Похищение учетных данных: большинство ссылок ведут на поддельную страницу входа в систему. Если вы введете свои данные, злоумышленник получит немедленный доступ к вашей учетной записи.
  3. Скрытая установка вредоносного ПО: нажатие кнопки может запустить скрипт, устанавливающий шпионское или вымогательское ПО. Часто это происходит «незаметно», то есть без всплывающих окон или уведомлений, которые могли бы вас предупредить.
  4. Подтверждение активности адреса: даже если вы не вводите данные, сам факт нажатия кнопки сообщает злоумышленнику, что ваш адрес электронной почты активен и что вы склонны переходить по ссылкам.

Не все последствия заметны сразу. Некоторые вредоносные программы активируются спустя несколько дней или становятся заметны только тогда, когда похищенные учетные данные используются для взлома учетной записи или мошенничества.

Примечание: Распространенным заблуждением является мнение, что сайт безопасен, если на нем есть значок «замока» или он использует протокол HTTPS. HTTPS не гарантирует безопасность сайта; это означает лишь то, что соединение зашифровано. Злоумышленники регулярно получают бесплатные SSL-сертификаты, чтобы их мошеннические сайты выглядели профессионально.

Профилактика — лучшая защита. Воспользуйтесь этим контрольным списком, чтобы проверить любую полученную ссылку:

  • Прежде чем нажать, наведите курсор: на компьютере наведите курсор мыши на ссылку (не нажимая!), чтобы увидеть фактический URL-адрес назначения в нижнем углу браузера. На мобильном устройстве нажмите и удерживайте ссылку, чтобы увидеть предварительный просмотр.
  • Проанализируйте домен: обращайте внимание на необычные домены верхнего уровня. Хотя мы доверяем доменам .com, .org или .gov, будьте осторожны с доменами .xyz, .top, .cc или .work в нежелательных сообщениях.
  • Проверьте на наличие несоответствующих субдоменов: ссылка в виде apple.com.security-check.xyz не является сайтом Apple. Настоящий домен всегда находится непосредственно слева от домена верхнего уровня (в данном случае — security-check.xyz).
  • Внимательно изучите контекст: соответствует ли ссылка отправителю? Если «Netflix» присылает вам ссылку на домен типа billing-update-now.com, это мошенничество.
  • Воспользуйтесь инструментом для проверки ссылок: если у вас возникли сомнения, щелкните ссылку правой кнопкой мыши, выберите «Копировать адрес ссылки» и вставьте его в бесплатный инструмент PowerDMARC Phishing URL Checker, чтобы мгновенно проверить любую подозрительную ссылку. Этот инструмент сравнивает URL-адрес с глобальными черными списками известных вредоносных сайтов.

Не уверен насчет ссылки-

Если вы уже нажали на ссылку, не паникуйте. Быстрые и взвешенные действия помогут не допустить, чтобы «клик» привел к «проникновению в систему».

  1. Немедленно закройте вкладку: если вы попали на эту страницу, ни на что больше не нажимайте. Не нажимайте «Отписаться» или «Отменить». Просто закройте окно.
  2. Отключитесь от Интернета: если вы подозреваете, что началась загрузка файла, отключите Wi-Fi или отсоедините кабель Ethernet. Это не даст вредоносному ПО связаться с командно-контрольным сервером (C2) злоумышленника или отправить ваши данные.
  3. Измените уязвимые пароли: если вы вводили свои учетные данные, перейдите на настоящий сайт (введите адрес вручную) и немедленно смените пароль. Если вы используете этот пароль на других сайтах, смените его и там.
  4. Запустите полное сканирование: воспользуйтесь надежным антивирусным или антивредоносным ПО, чтобы проверить устройство на наличие скрытых вредоносных программ.
  5. Сообщите об этом в ИТ-отдел: если вы используете служебное устройство, сообщите об этом ИТ-специалистам. Им гораздо проще помочь вам защитить один ноутбук, чем бороться с массовой атакой программ-вымогателей по всей компании.
  6. Сообщите об инциденте: воспользуйтесь руководством «Переход по фишинговой ссылке», чтобы узнать, какие конкретные меры необходимо принять в вашей ситуации.
Пример URL-адресаВведите .РозыгрышКраткий обзор: на что следует обратить внимание
https://secure-paypa1.com/loginДомен-двойникЦифра «1» заменяет букву «l» в слове «paypal».Обратите внимание на цифры, используемые вместо букв (1 вместо l, 0 вместо o).
https://bit.ly/3xHj9k2Сокращенный URLМесто назначения полностью скрыто и может вести куда угодно.Если окончание доменного имени скрыто за набором символов, оно не заслуживает доверия.
https://amazon.com.account-verify.xyz/Хитрость с субдоменамиФактический домен — account-verify.xyz, а не Amazon.Фактический домен — это всегда часть, расположенная непосредственно слева от домена верхнего уровня, например .xyz.
https://аpple.comАтака с использованием омографовИспользуется кириллическая буква «а», которая выглядит точно так же, как латинская буква «a».Будьте осторожны со ссылками от неизвестных отправителей, даже если они выглядят вполне нормально.
[QR-код]КвишингПоказывает URL-адрес только после сканирования; часто использует подозрительные домены верхнего уровня, такие как .top.Обращайте внимание на подозрительные наклейки, наклеенные поверх оригинальных кодов на меню или счетчиках.

Как на самом деле выглядит фишинговая ссылка--

Чтобы действительно защитить организацию или личную сеть от фишинговых ссылок, необходимы автоматизированные технические средства, которые блокируют вредоносные URL-адреса до того, как пользователь успеет на них нажать.

1. Фильтры защиты от спама и фишинга

Еще до того, как письмо попадает в ваш почтовый ящик, антиспам- и антифишинговые фильтры оценивают его. Эти фильтры анализируют репутацию отправителя, структуру письма и его содержание с помощью технологий машинного обучения. Они выявляют известные признаки фишинга, такие как формулировки, создающие ложное ощущение срочности, несоответствие в поле «От», а также ссылки, ведущие на известные вредоносные сайты, и автоматически перемещают подозрительные письма в папку «Спам» или в карантин.

2. Шлюзы безопасной электронной почты (SEG)

Шлюз безопасной электронной почты (SEG) выполняет функцию цифрового пограничного контрольно-пропускного пункта для всего входящего и исходящего почтового трафика. Шлюзы SEG отслеживают электронные письма на наличие сложных угроз, которые могут ускользнуть от стандартных фильтров. Они распаковывают сжатые файлы, анализируют вложения, такие как опасные HTML- или SVG-файлы, в защищенной тестовой среде и удаляют вредоносное содержимое до того, как оно достигнет конечного пользователя.

3. Перенаправление URL-адресов и сканирование по времени клика

Злоумышленники часто используют уловку, при которой они отправляют совершенно безопасную ссылку, чтобы обойти начальные фильтры электронной почты, а затем, после доставки письма, перенаправляют эту безопасную ссылку на вредоносную страницу. Для противодействия этому в современных системах безопасности используется перенаправление URL-адресов. Инструмент безопасности модифицирует все входящие ссылки, направляя их через безопасный прокси-сервер. Когда пользователь нажимает на ссылку, система выполняет сканирование в момент нажатия. Она анализирует URL-адрес назначения в режиме реального времени непосредственно в момент нажатия. Если сайт стал вредоносным после получения электронного письма, пользователю блокируется доступ и отображается страница с предупреждением.

4. Фильтрация DNS

Если пользователь случайно переходит по фишинговой ссылке через непроверенный канал, фильтрация DNS выступает в качестве важнейшей меры защиты. Каждый раз, когда устройство пытается загрузить веб-сайт, оно отправляет запрос на сервер системы доменных имен (DNS) для определения IP-адреса сайта. Фильтр DNS сверяет эти запросы с актуальной базой данных вредоносных доменов. Если пользователь переходит по ссылке, ведущей на известный фишинговый сайт, фильтр DNS блокирует преобразование доменного имени, полностью предотвращая загрузку веб-страницы.

Подведение итогов

Фишинговые ссылки по-прежнему остаются одним из наиболее распространённых источников утечек данных, однако этот риск в значительной степени поддаётся контролю. Благодаря надлежащей осведомлённости, осторожному подходу и нескольким постоянным привычкам в области безопасности вы сможете значительно снизить уязвимость. Бдительность, проверка ссылок перед нажатием и соблюдение элементарных правил безопасности при работе с электронной почтой в значительной степени помогут защитить не только вас самих, но и всех, с кем вы общаетесь.

Часто задаваемые вопросы

Как определить, что ссылка является фишинговой?

Самый эффективный способ — навести курсор на ссылку, чтобы посмотреть, куда она ведет. Обратите внимание на орфографические ошибки, необычные доменные расширения (например, .cc или .xyz) или несоответствие между предполагаемым отправителем и URL-адресом. Если у вас возникли сомнения, воспользуйтесь сервисом проверки фишинговых ссылок.

Фишинговые ссылки рассылаются только по электронной почте?

Нет. Фишинговые ссылки часто рассылаются в виде SMS-сообщений (смишинг), личных сообщений в социальных сетях и даже через рекламу в поисковых системах или QR-коды (квишинг).

Могут ли ссылки HTTPS быть фишинговыми?

Да. Современные злоумышленники используют HTTPS, чтобы создать ложное ощущение безопасности. HTTPS гарантирует лишь то, что данные, передаваемые между вами и сайтом, зашифрованы; он не проверяет, является ли владелец сайта законным.

Как DMARC помогает защититься от фишинговых ссылок?

Фишинговые ссылки обычно рассылаются через поддельные домены. DMARC не дает таким поддельным письмам попасть в папку «Входящие», проверяя подлинность отправителя и тем самым эффективно блокируя систему доставки ссылок.

CTA

Последние сообщения Милены Багдасарян (см. все)
Последнее обновление:
Достаточно ли Windows Defender для обеспечения безопасности малого бизнеса?Достаточно ли Microsoft Defender для обеспечения безопасности малого бизнеса?