Как преступники маскируют URL

Способы, которыми злоумышленники перенаправляют жертв на вредоносные и фишинговые сайты.

Как преступники маскируют URL

Специалисты, отвечающие за информационную безопасность компаний, нередко сталкиваются с самоуверенными сотрудниками, утверждающими, что они не кликают по опасным ссылкам, а потому им ничего не грозит. Иногда этим пытаются аргументировать отключение корпоративного защитного решения, которое якобы как-то мешает работе. Но злоумышленники часто маскируют очевидно вредоносные и фишинговые ссылки, стараясь запутать как автоматические почтовые фильтры, так и человека. В идеале им нужно сделать так, чтобы жертва, даже посмотрев на URL, увидела один адрес, а перешла по другому. Вот наиболее распространенные способы, которыми пользуются киберпреступники для этих целей.

Осторожно, злая собака

Самый элементарный способ отправить получателя ссылки по постороннему адресу — использовать в URL коммерческое at, привычную по почтовым адресам «собаку». В принципе, это вполне себе легитимный символ, который может применяться для передачи логина и пароля вместе с адресом, но если стоящие до символа @ данные не подходят для аутентификации, то браузер просто отбрасывает их, переходя по адресу, расположенному после символа @. Этим и пользуются злоумышленники — они придумывают убедительное название страницы, приклеивают к нему название легитимного сайта, а после «собаки» размещают реальный адрес. Вот как выглядит адрес нашего блога, замаскированный таким способом.

В начале много посторонней информации и домен Google, но перейдет браузер по адресу http://kaspersky.com/blog/.

Число в IP

В предыдущем способе зачастую злоумышленники пытаются смутить пользователя длинным именем страницы, чтобы отвлечь его от реального адреса (а он все-таки остается в адресе, пусть и после собаки). Но есть способ скрыть его и там — перевести из IP в число. Дело в том, что IP-адрес не очень удобно хранить в базах данных. Поэтому в какой-то момент был придуман механизм конвертирования IP-адреса в целое число (которое хранить в целочисленной переменной гораздо удобнее) и обратно. И сейчас все современные браузеры, видя в URL число, автоматически конвертируют его в IP-адрес. В комбинации с тем же символом @ это достаточно эффективно маскирует реальный URL. Вот так вот может выглядеть ссылка на наш корпоративный сайт:

Используя этот трюк, преступники, наоборот, пытаются акцентировать внимание на домене, а все остальное выдать за какой-то параметр — благо разнообразные маркетинговые инструменты частенько вставляют в ссылку всевозможные цифро-буквенные метки.

Сервисы для сокращения ссылок

Еще один достаточно простой способ — воспользоваться одним из легитимных сервисов для сокращения ссылок. Внутрь короткой ссылки можно поместить что угодно, а проверить, что там внутри, не кликнув — нельзя.

Google Accelerated Mobile Pages

В свое время компания Google вместе со своими партнерами сделала механизм Google AMP, сервис для упрощения загрузки веб-контента на мобильных устройствах. В 2017 году Google утверждал, что AMP-страницы загружаются менее чем за секунду и используют в 10 раз меньше данных, чем те же самые страницы без AMP. Сейчас злоумышленники научились применять этот механизм для фишинга — в письме содержится ссылка, начинающаяся с «google.com/amp/s/», но в итоге кликнув по ней, пользователь попадет на не принадлежащий Google сайт. На эту уловку зачастую попадаются даже антифишинговые фильтры — за счет репутации Google они считают ссылку достаточно надежной.

ESP-провайдеры

Еще один способ спрятать свою страницу за чужим URL — использовать ESP-провайдера, то есть сервис для создания легитимных рассылок. Об этом способе мы уже писали достаточно подробно. Если коротко — преступники регистрируются на сервисе, заказывают кампанию по рассылке, вставляют фишинговый URL, а в результате получают готовый красивый адрес, который при этом для фильтров имеет репутацию компании-рассыльщика. Они, конечно, со своей стороны пытаются бороться со злоупотреблениями, но получается это не всегда.

Редирект через Baidu

Китайский поисковый движок Baidu достаточно интересно подходит к результатам поисковой выдачи. В отличие от привычного нам Google, он возвращает не ссылки на искомый сайт, а ссылки на себя с редиректом на этот сайт. То есть для того, чтобы замаскировать URL своего сайта за Baidu, достаточно найти свою страницу (а это достаточно просто, если вы вбиваете точный адрес), скопировать ссылку и вставить ее в письмо.

И по большому счету мы не знаем, сколько еще в мире работает аналогичных сервисов, которые могут ради каких-то собственных целей или во имя удобства доставки контента редиректить URL или даже кэшировать страницы на своей стороне.

Практические выводы

Как бы ваши сотрудники ни были уверены, что они могут понять, опасна ссылка или нет, мы рекомендуем подстраховывать их при помощи защитных решений. Причем как на уровне корпоративного почтового сервера, так и на уровне рабочего устройства.

Советы