Не все ссылки, которые выдают поисковики или присылают знакомые и «сотрудники Госуслуг», безопасны. Здоровый скептицизм к ссылкам — отличная привычка, но остерегаться каждой ссылки в интернете тоже не вариант. В этой статье рассказываем, как в домашних условиях осуществляется проверка ссылки на безопасность и вирусы.
Проверка сообщения на фишинг
Прежде чем проверять саму ссылку, стоит убедиться, что в сообщении или письме нет других признаков фишинга, то есть интернет-мошенничества. Очень часто злоумышленники применяют методы социальной инженерии: играют на эмоциях, создают ощущение срочности, запугивают собеседника тем, что его данные украли, а устройства взломали.
Когда стоит насторожиться:
- Необычное поведение. Например, «Госуслуги» прислали код в мессенджере, или с просьбой «проголосовать за сестру в конкурсе» вдруг объявился старый знакомый, который не писал много лет.
- Безличные обращения вроде «Уважаемый пользователь», «Многоуважаемый» и т.д.
- Ошибки и опечатки. Если письмо выглядит так, будто его написал иностранец, — скорее всего, так и есть. Очень часто в сообщениях также подменяют символы на похожие, чтобы обходить спам-фильтры (например, английская «o» вместо русской «о» или символы с диакритикой вроде «ů»).
- Неправильный домен электронной почты. Никогда не будет лишним прогуглить легитимный адрес поддержки. Если почта не совпадает с той, что указана на официальном сайте, можно смело игнорировать письмо.
- Посторонние вложения и файлы в письме. Очень часто вредоносные файлы имеют расширение .exe.
Проверка ссылки
Теперь приступаем к проверке самой ссылки и выясняем, что за сайт скрывается за ней. Важно: ни в коем случае не нажимайте ссылку сразу! Если вы все же уже перешли по ссылке, пролистайте до нужного раздела статьи.
Внимательно смотрим на адрес сайта
Очень часто фишинговые сайты «маскируют» названия под настоящие: например, rnos.ru вместо mos.ru или GoogIe (с заглавной буквой i) вместо Google.
Если подобных «маскировок» нет, нужно загуглить официальный сайт сервиса. С большой долей вероятности первый сайт, который появится в поисковой выдаче, является легитимным. Не обращайте внимания на ссылки с плашкой «реклама»: иногда мошенникам удается пройти модерацию поисковиков. Сравните настоящий адрес с тем, что вам прислали: даже небольшие несовпадения вроде измененной доменной зоны (.ru, .org, .com и т.д.) — это явный красный флаг.
Если по ссылке непонятно, на какой сайт она ведет, или она состоит из случайного набора символов, сразу же переходим к следующему пункту.
Смотрим, куда ведет ссылка (но не кликаем на нее!)
Чтобы узнать, что за сайт скрывается за ссылкой, воспользуемся инструментом IP-Logger. Он показывает не только конечный пункт назначения, но и промежуточные перенаправления на другие сайты, если они есть. Кроме того, IP-Logger предоставляет полезные метаданные о сайтах. «Сайт» Яндекса, находящийся в Бангладеше или Нигерии, — явный звоночек о том, что что-то не так. Еще можно проверить возраст домена на WhatsMyDNS: слишком «молодые» сайты тоже должны вызвать подозрение.
К примеру, мы создали короткую ссылку на статью нашего блога — попробуем пробить ее через IP-Logger. Результат следующий: вначале пользователь попадает на сервис, через который мы сгенерировали короткую ссылку, — там ему показывают рекламу. И только в конце пользователь попадает на блог Skillfactory.
Если IP-Logger не справился с задачей, можно обратиться к его аналогам. С расшифровкой коротких ссылок справится Prozavr, а покажет конечные и промежуточные пункты URL-адреса RedirectChecker.
Проверка ссылки на безопасность
Воспользуемся сервисами, которые проверяют, находится ли сайт в базе данных вредоносных ресурсов:
- проверка ссылок от Dr. Web;
- проверка ссылок от Kaspersky Threat Intelligence Portal;
- проверка от 2IP.
Важно понимать, что базы данных — не панацея: злоумышленники постоянно регистрируют новые сайты, которые долго остаются вне поля зрения кибербезопасников. Чтобы тщательнее проверить ссылку на вирусы, понадобится антивирус.
А еще можно попробовать найти в интернете отзывы на сайт, на который ведет ссылка.
Что делать, если вы перешли по подозрительной ссылке
Ссылка открыта, браузер предупреждал о незащищенном подключении. Пользователь не нажал на «Все равно открыть»
Здесь алгоритм действий простой: не спорить с браузером и закрыть ссылку. Такое предупреждение — возможный признак того, что ссылка вредоносная. Большинство сайтов сегодня используют защищенный протокол HTTPS, благодаря которому вся информация между вами и сервером шифруется. Если же браузер предупреждает о рисках, вполне вероятно, что сайт создан наспех без шифрования, не имеет надежного сертификата или пытается подменить его.
Многие старые сайты в рунете все еще используют небезопасный протокол HTTP. А еще из-за санкций некоторые российские государственные сайты перешли на собственные сертификаты, на которые зарубежные браузеры могут ругаться. Такие сайты лучше запускать отдельно в отечественных браузерах вроде «Яндекса» или «Атома».
Пользователь перешел по ссылке, но не вводил никакие данные, и ничего не произошло
В этом сценарии вероятность серьезных последствий не так высока: современные браузеры неплохо защищают пользователей от автоматической загрузки вредоносного кода. Но иногда достаточно просто побывать на зараженном сайте, чтобы заполучить в подарок троян — именно так, например, работает атака Drive-by-Download. Поэтому, оказавшись на подозрительной странице, лучше сразу ее закрыть, проверить ссылку с помощью специальных сервисов и на всякий случай просканировать устройство антивирусом.
Не будет лишним также отключить функцию автоматической загрузки в браузере.
Пользователь перешел по ссылке, ввел персональные данные (логин, пароль, ФИО, номер карточки и т.д.) или после открытия сайта началась загрузка файла
Самый неприятный сценарий. Здесь нужно действовать сразу:
- Вспомнить, какие данные вы вводили на сайт. Если это были логин и пароль, которые используются и на других сайтах, необходимо немедленно их сменить (начать лучше с самого важного: банковские приложения, соцсети, почта, корпоративные ресурсы). Если данные от карты — сразу же звонить в банк.
- Если после открытия сайта началась загрузка файлов, стоит сразу же удалить их (открывать их — очень плохая идея). После этого лучше просканировать устройство антивирусом.
Как проверить ссылку на безопасность — коротко
- В первую очередь нужно определить, какие промежуточные и конечные пункты назначения у ссылки — проще говоря, куда она ведет. Для этого есть сервисы вроде IP-Logger и Prozavr.
- Затем можно проверить, нет ли этих сайтов в базе данных вредоносных ресурсов. С этим справятся Kaspersky Threat Intelligence Portal, Dr. Web и 2IP.
- Убедиться, что в сообщении или письме нет признаков фишинга и социальной инженерии (подробнее об этом — здесь).
- Если предыдущие советы не дали результата — проверить ссылку с помощью антивируса.
