Как проверить ссылку на фишинг до того, как вы по ней кликнули

Спойлер: «безопасного» формата файлов не существует — и ссылки здесь не исключение

Всё началось с рабочей задачи

Мы готовим для вас новый функционал и столкнулись с простым организационным вопросом: как удобнее принимать материалы от пользователей? Самое логичное — ссылки на Google или Яндекс Диск.

И тут включилась профессиональная паранойя. Мы — команда, которая занимается кибербезопасностью и обучает людей не кликать куда попало. Принимать ссылки от незнакомых людей и не проверять их? Так себе история.

Первая мысль была предсказуемой: «Давайте просить файлы в .doc — там же вирусов быть не может». Может. Ещё как может. Именно здесь начинается самое интересное.

Миф о безопасном формате файла

Word-документы (.doc и .docx) десятилетиями используются как вектор атаки — и не теряют популярности у злоумышленников по сей день.

Причина — макросы. Макрос в Word — это встроенный мини-скрипт на языке VBA (Visual Basic for Applications), который может выполнять команды на вашем компьютере: скачивать файлы из интернета, запускать процессы, обращаться к системным ресурсам. Изначально макросы придумали для автоматизации рутины — например, форматирования таблиц. Но злоумышленники быстро сообразили, что это удобный способ доставки вредоносного кода.

Схема классическая: жертва получает письмо с вложением «Счёт на оплату.doc» или «Договор_финальная версия.doc», открывает файл, видит размытый текст и предложение «Включить содержимое для просмотра». Один клик — и макрос выполнен. Дальше сценарии разные: от тихой кражи данных до установки шифровальщика.

По данным исследований, вредоносные документы Office стабильно входят в топ-3 способов первоначального проникновения в корпоративные сети. Фишинг остаётся причиной более 90% успешных кибератак — и офисные документы в письмах играют в этом ключевую роль.

Так что .doc — не панацея. Идём дальше.

Чем опасна ссылка

Ссылка сама по себе не несёт вредоносного кода — но она может вести туда, где этот код вас ждёт. Вот основные сценарии:

Фишинговая страница. Визуально неотличимая копия знакомого сайта — банка, почты, корпоративного портала. Вы вводите логин и пароль, и они уходят злоумышленнику. Домен при этом может отличаться от оригинала одной буквой или символом: goog1e.com вместо google.com, rnail.ru вместо mail.ru.

Drive-by download. Переход по ссылке автоматически инициирует загрузку файла на устройство — без каких-либо дополнительных действий с вашей стороны. Эксплуатируются уязвимости браузера или плагинов.

Редиректы. Ссылка выглядит безобидно, но за ней скрыта цепочка перенаправлений на вредоносный ресурс. Особенно часто используются сервисы сокращения ссылок — bit.ly, tinyurl и им подобные: за коротким адресом невозможно угадать конечный домен.

Credential harvesting через OAuth. Ссылка ведёт на легитимный интерфейс авторизации (Google, Microsoft), но запрашивает избыточные разрешения для подключённого приложения. Вы нажимаете «Разрешить» — и отдаёте доступ к своей почте или файлам.

Как работают сервисы проверки ссылок

Когда вы вставляете URL в такой сервис, он делает несколько вещей одновременно:

• Проверяет домен по базам данных известных фишинговых и вредоносных сайтов — они обновляются в реальном времени на основе сообщений пользователей, автоматических краулеров и данных от партнёров.
• Анализирует репутацию IP-адреса, на который ведёт домен, — давно ли зарегистрирован, не замечен ли в рассылке спама или атаках.
• В ряде случаев эмулирует переход по ссылке в изолированной среде (sandbox) — и смотрит, что происходит: загружается ли файл, выполняется ли скрипт, происходит ли редирект.

Это принципиально отличается от того, что делает браузер по умолчанию: он просто открывает страницу.

Три сервиса, которым мы доверяем

После небольшого внутреннего исследования остановились на трёх инструментах — бесплатных, без регистрации, рабочих.

1. Dr.Web Online (vms.drweb.ru/online) — российский антивирус с многолетней историей. Сервис сканирует ссылку по собственным базам Dr.Web. Хорош как первый быстрый фильтр, особенно актуален для российского сегмента интернета, где у Dr.Web накоплена обширная база локальных угроз.
2. Kaspersky Threat Intelligence Portal (opentip.kaspersky.com) — профессиональный инструмент от Лаборатории Касперского, изначально разработанный для аналитиков безопасности. Проверяет не только репутацию URL, но и домен, IP-адрес, файловые хеши. Показывает категорию угрозы и уровень риска. Из бесплатных инструментов — один из самых информативных.
3. VirusTotal (virustotal.com) — абсолютный стандарт индустрии. Прогоняет ссылку одновременно по базам более 70 антивирусных движков и сервисов репутации URL. Если угроза известна хотя бы одному из них — вы об этом узнаете. Показывает детальный отчёт по каждому движку. Минус один: очень новые, только что созданные фишинговые домены могут ещё не попасть ни в одну базу — здесь никакой инструмент не даёт стопроцентной гарантии.

Важный нюанс: ни один сервис не даёт абсолютной гарантии

Фишинговые домены создаются тысячами в день и живут иногда несколько часов — ровно столько, сколько нужно для атаки. Базы обновляются быстро, но не мгновенно. Поэтому проверка ссылки через сервис — это необходимый слой защиты, но не единственный.

Что ещё работает в связке: внимательность к домену (смотрите в адресную строку после перехода), двухфакторная аутентификация на всех важных аккаунтах, актуальный антивирус с веб-защитой и — да, регулярное обучение сотрудников распознавать фишинг до клика, а не после.

Последний пункт — как раз то, чем мы занимаемся в StopPhish. Но сервисы проверки ссылок — простой и бесплатный первый шаг, доступный прямо сейчас.

Добавляйте в закладки и пользуйтесь на здоровье. 🛡