Поиск по сайту Поиск

Чек-лист для проверки сайта: распознаём фишинговые страницы «на глаз»

Согласно статистике 45% россиян столкнулись с фишинговыми сайтами в 2021 году. Поэтому сегодня, в преддверии покупок подарков к приближающимся праздникам, мы приготовили чек-лист опасных признаков, которые помогут отличить мошеннический веб-ресурс от легитимного за несколько минут. Сохраняйте пост в закладки, чтобы не потерять.

Вспомним базовые понятия

Социальная инженерия — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.

Например, вам позвонили с фразой: «Здравстуйте, я из службы поддержки банка. Вам нужно сообщить мне код из SMS, который вам пришёл». Всё это — обман и побуждение к действию, выгодному злоумышленнику. Если хотите узнать больше о социальной инженерии и её методах, обязательно прочитайте этот пост

Фишинг — атака социальной инженерии, которая включает в себя обман жертвы для раскрытия конфиденциальной информации.

Итак, мы собрали 8 основных признаков мошеннического веб-ресурса, которые помогут вам не попасть на сайт-подделку:

✅Будьте внимательны и не верьте всему, что рекламируется

Первый в поисковой выдаче — не значит легитимный. Поэтому не используйте первый попавшийся сервис и обращайте внимание на ссылки! Фишинговые сайты продвигают при помощи контекстной рекламы, SEO-оптимизации, баннерной рекламы, потому они нередко оказываются в первых строках поисковой выдачи. 

✅Проверьте SSL-сертификат

Если домен страницы, на которой производится оплата, начинается с HTTP а не с HTTPS — сайт, как минимум, нельзя назвать безопасным, а как максимум, можно назвать фишинговым.

К сожалению, вместе с развитием технологий, развивают свой арсенал и мошенники. И сегодня им не составит труда получить действительный SSL-сертификат даже для подделки — об этом мы рассказывали в недавнем посте «Бесплатный SSL vs платный SSL-сертификат: какой выбрать?». Поэтому, чтобы точно удостовериться в правомерности ресурса придётся капнуть чуть глубже.

Здесь важно проверить тип сертификата. Если вы видите OV или EV сертификат — это 99,999% гарантия того, что перед вами сайт-оригинал. Это докажет, что указанная в сведениях организация, для которой выдали сертификат — не подделка. А вот бесплатные сертификаты Let's Encrypt и Cloudflare часто выбирают мошенники — зачем им связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно, верно?

Убедительно? Идём дальше!

✅Проверьте, на каком домене зарегистрирован сайт

Злоумышленники часто пытаются регистрировать похожие домены. Поэтому, важно внимательно присмотреться к названию сайта. Если в домене ошибка или опечатка — вас обманывают.

  1. Пытаясь запутать пользователей, злоумышленники часто заменяют буквы символами — например, цифра «1» вместо буквы “I”: ONL1NE , а не ONLINE. 
  2. Ещё один приём — пропуск символов или добавление лишних. К примеру, вместо домена SBERBANK.RU злоумышленники могут использовать SBRBANK.RU. 
  3. Также стоит обратить внимание на доменную зону — фейковый сайт может располагаться в нестандартной для компании зоне, например, REG.SUPPORT вместо REG.RU.

Помните, что основное чувство, на котором играют мошенники — невнимательность.

✅Проверьте возраст сайта

Новый сайт — тревожный инсайт :D. Для проверки возраста и местоположения веб-сервера сайта используйте WHOIS. Если вы попали на ресурс крупного бренда с многолетней историей, то высока вероятность, что перед вами безопасный сайт. А вот если «крупный» сайт создан всего пару месяцев назад — стоит задуматься.

Кстати, проверить подозрительные сайты можно в REG.RU, используя сервис История Whois. Используя домен, вы сможете узнать:

  • Дату первоначальной регистрации.
  • Название регистратора и их смену.
  • Администратора, его контакты (если они не скрыты).
  • Полную истории DNS домена.

Достаточно ввести интересующий домен в строку поиска, после чего вся информация отобразится на экране.

✅Проверьте текстовый контент 

Также при проверке фишинговых страниц включает поиск грамматических, синтаксических и стилистических ошибок. Создатели сайтов-подделок не переживают о репутации сайта, поэтому ошибки на таком веб-ресурсе — обычное дело. Чтобы быстро проверить текст, можете скопировать его в документ, включив проверку правописания.

✅Проверьте контент сайта

Здесь всё зависит от вашей внимательности и скрупулёзности. Существует огромное количество возможных «блох» —  несостыковок в контенте сайта (+ 1 слово в копилку IT-сленга 😉 ). Например, на странице используется счётчик оплат, который постоянно «вращает» неизменяемую цифру. Или если в адресной строке сайта указано одно название сервиса, а на баннере — другое, то стоит усомниться в оригинальности сайта. 

Короче говоря, понаблюдайте за сайтом, посмотрите его разделы — на фишинговых ресурсах их, обычно, не бывает много. Отсюда мы получаем следующий пункт…

✅Проверьте наличие одинаковых адресов на страницах сайта

Для проверки кликните на раздел меню и посмотрите на адресную строку — меняется ли адрес страницы, при переходе в другой раздел? Проверьте хотя бы 2-3 страницы, потому что часто у всех страниц мошеннического сайта одинаковые адресные строки. 

✅Будьте рациональны — не верьте в акции нереальные

Сайт обещает нулевые комиссии или невероятные акции с призами? Привет — это тревожный звоночек! Любые излишне привлекательные предложения должны заставить насторожиться — возможно вас пытаются «купить».

В принятии решения — пользоваться или не пользоваться сайтом — всегда опирайтесь на здравый смысл, а не заманчивые предложения. 

как проверить надёжность сайта

⌘⌘⌘

Не будьте беспечны, будьте рациональны, разумны и внимательны. Надеемся, что наш чек-лист поможет избежать подобных неприятных ситуаций. 

Итоги 2021 года: Cloud VPS на Windows, VIP-поддержка хостинга и искусство в дата-центре

Ещё один год приближается к финишной прямой — 2021 выдался действительно богатым на события для нашей компании. Поэтому редакция блога...
Read More

Самые читаемые посты в блоге за 2021: программирование, интересные факты и загадки

Компания REG.RU начинает подводить итоги уходящего года. Все 365 дней мы внимательно следили за тем, какие статьи вызывают у читателей...
Read More

Лучшие таск-сервисы для организации командной работы

Грамотное планирование — неотъемлемая частью нашей жизни, будь то ремонт квартиры, организация дня рождения или совместная работа над проектом с...
Read More

Жизненный цикл домена: регистрация, продление и новые владельцы

Спорим, вы догадывались, что зарегистрированный домен будет с вами не всегда? Многие знают, что сделка с регистратором подтверждает возможность использования...
Read More

Что такое веб-портфолио и как его создать

Портфолио — собрание выполненных работ, проектов и других документов, которые демонстрируют ваш профессионализм и опыт. И, если раньше портфолио представляло...
Read More

Чек-лист для проверки сайта: распознаём фишинговые страницы «на глаз»

Согласно статистике 45% россиян столкнулись с фишинговыми сайтами в 2021 году. Поэтому сегодня, в преддверии покупок подарков к приближающимся праздникам,...
Read More

Всем игрокам подготовиться: 5 игр для изучения программирования

Самостоятельное изучение программирования может оказаться не только сложным, но и проблематичным: как не потеряться в огромном количестве учебников и документации?...
Read More

«Доменный брокер» или как REG.RU договаривается о покупке за вас

Давайте представим, что вы решили зарегистрировать домен, но оказалось, что он уже занят другим администратором или владельцем. Казалось бы, что...
Read More

Google Workspace: Gmail, видеозвонки, календарь и многое другое

Хотите выстроить работу в режиме удалёнки? Это не так уж и сложно. Организовать онлайн-офис вам помогут digital-инструменты, например, Google Workspace,...
Read More

Бесплатный SSL vs платный SSL-сертификат: какой выбрать?

Недавно мы уже отвечали на вопросы о том, что такое SSL-сертификат, как он связан с безопасностью сайта и данных пользователей....
Read More