Как распознать фишинговые ссылки и сайты
Роскачество совместно с компанией StopPhish подготовило памятку о том, как распознать фишинговые ссылки и предотвратить вред для своих данных и кошелька.
Социальная инженерия – обман человека с целью побуждения к действиям, выгодным злоумышленнику. Например, вам звонят и говорят: «Я из службы поддержки банка. Вам нужно сообщить мне код из SMS, который вам пришел». Это был обман и побуждение к действию, выгодному злоумышленнику.
Фишинг (англ. phishing от fishing – рыбная ловля, выуживание) – процесс выманивания конфиденциальной информации. Например, вы вводите пароль от аккаунта в социальной сети на поддельном сайте и нажимаете «Войти» – этот процесс называется фишингом.
Фишинговая ссылка – адрес страницы, на которой злоумышленник крадет конфиденциальную информацию, оставляемую жертвой. Например, ссылка, после перехода по которой у вас просят ввести пароль от почты на поддельном сайте.
Проверка сайта на вирусы онлайн
Прежде всего о бесплатных сервисах онлайн-проверки сайтов на вирусы, вредоносный код и другие угрозы. Всё, что требуется для их использования — указать ссылку на страницу сайта и посмотреть результат.
Примечание: при проверке сайтов на вирусы как правило проверяется конкретная страница этого сайта. Таким образом возможен вариант, когда главная страница «чистая», а какая-то из второстепенных, с которой вы производите загрузку файла — уже нет.
VirusTotal
VirusTotal — самый популярный сервис проверки файлов и сайтов на вирусы, использующий в работе сразу 6 десятков антивирусов.
Отмечу, что одно-два обнаружения в VirusTotal часто говорят о ложном срабатывании и, возможно, в действительности с сайтом всё в порядке.
Kaspersky VirusDesk
Аналогичный сервис проверки есть у Касперского. Принцип работы тот же: заходим на сайт https://virusdesk.kaspersky.ru/ и указываем ссылку на сайт.
В ответ Kaspersky VirusDesk выдает отчет о репутации этой ссылки, по которой можно судить о безопасности страницы в Интернете.
Онлайн проверка URL Dr. Web
То же самое у Dr. Web: заходим на официальный сайт https://vms.drweb.ru/online/?lng=ru и вставляем адрес сайта.
В результате проверяется наличие вирусов, перенаправлений на другие сайты, а также отдельно выполняется проверка используемых страницей ресурсов.
Как понять, что сайт заражён
Даже когда кажется, что всё в порядке, вы сможете заметить «звоночки», говорящие о заражении веб-ресурса. Вот некоторые из них:
- Аномальное увеличение нагрузки исходящего трафика.
- Появление в поисковой выдаче при ссылке на сайт пометки о том, что данный ресурс может угрожать вашему компьютеру.
- Предупреждения от вашего антивируса о небезопасности сайта.
- Появление подозрительных перенаправлений на сторонние ресурсы.
- Заметное «торможение» в работе сайта и прочие неполадки.
- Появление новых файлов и папок, изменение даты файлов и так далее.
- Вам приходят тревожные предупреждения со стороны хостинг-провайдера.
При появлении одного или нескольких тревожных сигналов, обязательно нужно проверить сайт в специальных сервисах.
Способ №2. 2ip
2ip.ru – это популярный в русскоязычном сегменте Интернета сайт, содержащий в себе много полезной информации и удобные функции. Одна из них – проверка сайта на вирусы.
Зайдите на 2ip.ru, введите в специальную строку адрес проверяемой ссылки и после нажатия на «Проверить» дождитесь результата.
Проверка ссылки на вредоносность с помощью сервиса 2ip.ru
Отличие данного сервиса от проверки через Dr. Web заключается в том, что Dr. Web дает более подробную информацию, приводя полноценный отчет по всем дочерним ссылкам.
Результат проверки ссылки с помощью сервиса 2ip.ru
Видео — Как проверить ссылку на безопасность
Как проверить ссылку на безопасность
Полезные ссылки для веб-мастеров по безопасности и защите сайтов
В интернете можно найти много ресурсов, называющих себя “антивирусами” или сервисами мониторинга безопасности сайта, но лишь единицы действительно эффективны. То же самое касается сервисов анализа скриптов на вредоносный код, инструментов для расшифровки “вредоносов” и сервисов для удаления зараженных сайтов из вирусных баз.
Порой очень сложно найти нужную ссылку или форму для отправки сайта на проверку в вирусную лабораторию или исключения IP адреса из спам-базы. Попробуйте, например, отправить запрос на разблокирование запрещенного сайта в социальной сети Facebook.
Чтобы сэкономить вам время, мы сделали подборку полезных сервисов для веб-мастеров, которые позволят быстро решить проблему взлома и заражения.
Добавьте себе в закладки, чтобы в случае необходимости, воспользоваться данной подборкой и оперативно решить проблему. Список будет периодически дополняться новыми эффективными он-лайн сервисами.
Проверка на заражение сайта и взлом
- Онлайн проверка на вирусы от VirusTotal:
https://www.virustotal.com/#url
Сервис проверяет по самой большой базе антивирусных служб и антивирусных продуктов Несколько десятков антивирусных продуктов и сервисов в одном флаконе. Не ищет вирусы на сайте, только проверяет по базам антивирусов. - Онлайн проверка на вирусы от URLVoid:
http://www.urlvoid.com/
Сервис проверяет сайт по черным спискам спаммеров, антивирусных служб и продуктов. Хорошее дополнение к virustotal.com. Не ищет вирусы на сайте, только проверяет по базам антивирусов. - Онлайн проверка сайта на взлом и вирусы от Sucuri:
http://sitecheck.sucuri.net/scanner/
Сервис сканирует страницы сайта на вредоносный код и вирусные вставки, проверяет версию CMS на актуальность, проверяет домен на заражение по базам нескольких известных компаний. Эффективность поиска вирусов низкая, но хорошее дополнение к ручному анализу. - Отправить запрос в лабораторию Антивируса «Касперского»:
https://my.kaspersky.com/ru/kpc/support/viruslab
Отправьте запрос в лабораторию, чтобы разблокировать сайт в антивирусе. Рекомедуем предварительно зарегистрироваться на сайте, чтобы запрос обработали быстрее. - Онлайн сканер сайта от Dr. Web:
http://vms.drweb.com/online/?lng=ru
Проверка сайта по антивирусной базе Dr.Web на фишинг, вирусы. Малоэффективный сервис, но позволяет определить, забанен ли сайт антивирусом Dr.Web. - Проверка IP адреса по спам-базе (черному списку IP адресов за спам)
http://www.dnsbl.info/dnsbl-database-check.php
Вы можете проверить, не попал ли ваш IP адрес в черный список серверов. - Проверка IP адреса по черному списку
http://mxtoolbox.com/blacklists.aspx
Еще один сервис для проверки IP адреса на блокировку в результате спам-рассылок.
Удалить сайт из вирусных и спам-баз
- Удалить сайт из базы антивируса Avast:
https://support.avast.com/
Выбрать пункт “Вирусная Лаборатория Avast” -> “Ложное срабатывание” -> Указать сайт - Удалить сайт из вирусной базы Dr. Web:
https://support.drweb.com/new/urlfilter/?lng=ru - Удалить сайт из вирусной базы McAfee:
http://www.siteadvisor.com/analysis/recommendchanges/?url= - Проверка сайта по базе фишинговых сайтов от Phishtank:
http://www.phishtank.com/verify_a_phish.php
В этом же сервисе можно отправлять заявку на исключение сайта из базы фишинговых сайтов. - Удалить сайт из базы заблокированных сайтов в Facebook: ссылка на форму.
Если Facebook не позволяет использовать ваш домен в постах, через данную форму можно обратиться в тех поддержку Facebook с запросом на разблокирование сайта. - Удалить сайт из вирусной базы bitdefender:
http://trafficlight.bitdefender.com/info?url= - Удалить сервер из спам-баз
http://www.spamhaus.org/lookup/
Если ваш сервер попал в черных список из-за спам-рассылки, данный сервис позволит отправить запрос на исключение IP адреса из черного списка. - Панель вебмастера Google:
https://www.google.com/webmasters/tools/home?hl=ru
Удалить сайт из базы вредоносных Google и других сервисов (плагинов), которые используют Google Safe Browsing. - Панель вебмастера Яндекс
http://webmaster.yandex.ru/
Удалить сайт из базы вредоносных Яндекса и других сервисов, которые используют “Безопасный Поиск” Яндекса
Анализ вредоносных скриптов и вирусов, полезные сервисы для веб-мастера
- Расшифровщик PHP кода:
http://ddecode.com/phpdecoder/
Раскодирует PHP файлы, которые зашифрованы с помощью несложных алгоритмов. Не работает как деобфускатор. - Еще один расшифровщик PHP кода:
http://www.whitefirdesign.com/tools/deobfuscate-php-hack-code.html
Предлагает много вариантов закодированных последовательностей. - Расшифровщих HEX последовательностей:
http://ddecode.com/hexdecoder/
Конвертирует HEX запись файла в строку. - Расшифровка BASE64 строк:
http://base64.ru/ - Большое число полезных утилит для проверки сайта:
http://viewdns.info/
Who Is сервис, ping, проверка доменов на том же IP и пр. - Много полезных инструментов для анализа javascript кода:
http://iblogbox.com/devtools/js/
Кодеры, декодеры, конвертеры. - Проверка ответа веб-сервера и страниц для различных браузеров:
http://www.bertal.ru/
С помощью сервиса можно определять серверные редиректы. - База публичных уязвимостей скриптов и CMS:
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=
Плагины для браузера и инструменты
- Расширение браузера для мониторинга фишинговых сайтов и фрода:
http://toolbar.netcraft.com/ - Проверка актуальных обновлений для плагинов браузера:
http://www.surfpatrol.ru/ru/about
Если вам потребуется профессиональная помощь по лечению сайта от вирусов и защите от взлома, обратитесь к специалистам.
Веб-сканер QUTTERA
Бесплатный ресурс, ориентированный на зарубежные сайты с их характерными заражениями, достаточно эффективен и при проверке доменов рунета. Выполняет динамический анализ сайта, что позволяет обнаруживать 0-day угрозы. Возможна проверка сразу нескольких страниц. Любопытно, что сервис в разряд потенциально подозрительных файлов отнес код Яндекс.Метрики (mc.yandex.ru/metrika/watch.js).
Quttera не только анализирует файлы на наличие троянов, но и проверяет репутацию ресурса и его наличие в черных списках таких баз, как:
- MalwareDomainList,
- Quttera Labs,
- Google-SafeBrowsing,
- Yandex-SafeBrowsing,
- PhishTank.
Процесс проверки может занять несколько минут.
Используют шифрование
Когда мы переходим по ссылке, браузер предупреждает о безопасности сайта: в начале адресной строки появляется или замок, или слово «ненадежный».
Но даже на таком сайте могут орудовать мошенники. Браузер считает надежным сайт с протоколом передачи данных https — потому что этот протокол шифрует информацию, которую получает от пользователя. А протокол без буквы s — http — считается ненадежным, потому что злоумышленники могут перехватить данные.
Соль в том, что даже у надежного сайта есть владелец. И он может спокойно пользоваться введенными данными. Это удобная лазейка для мошенников: они создают страницы, адрес которых начинается с https, и копируют привычные сайты — например, социальные сети. Жертва видит замочек и спокойно вводит свой пароль, который тут же оказывается у обманщиков.
Как не попасться. Обращать внимание на адрес сайта: если в нем есть ошибка, не вводите пароль, а зайдите в социальную сеть как обычно — наберите ее название в поисковике или адресной строке.
Так выглядит безопасное соединение: в начале адресной строки есть замочек
Визуальная проверка безопасности сайта
Дважды проверяйте URL-адреса
Начнем с самого простого совета. Теперь проверить достоверность URL-адреса совсем не сложно. Первая уловка организаторов фишинговых атак — сделать адрес как можно более похожим на оригинальный (мало кто с первого раза может заметить небольшую небольшую ошибку в адресе). На первый взгляд URL-адрес может выглядеть как подлинный, но более тщательная проверка может показать, что он содержит цифру 1 вместо буквы l или домен .ru заменили на .com.
Проверка наличия протокола https
Буквы http, которые мы можем увидеть в начале адреса обозначают протокол передачи данных, при котором их намного легче перехватить, чем при защищенном https.
Действительно,“S” в аббревиатуре https означает “secure”, то есть «защищенный». Иными словами, если веб-сайт работает с протоколом https, то канал передачи данных между браузером и сервером, на котором размещается веб-сайт, надежно зашифрован. Если, вы не уверены, что сайт или ссылка защищены протоколом https, будьте внимательны и не вводите никакие персональные данные.
Однако защищенное подключение по себе еще не является гарантией того, что перед вами благонадежный интернет-ресурс, а не мошеннический сайт, владелец которого только и ждет того, что вы оставите на нем свои персональные данные.
Киберпреступники делают все возможное, чтобы выдать свои сайты за подлинные, и хотя сайты https являются более безопасными, они все равно могут принадлежать мошенникам за счет использования поддельных сертификатов.
Tinfoil security
Защита Tinfoil сначала проверяет ваш сайт против 10 уязвимостей OWASP, а затем других известных дыр в безопасности. Вы получаете отчет о действиях и возможность повторного сканирования после завершения необходимых исправлений.
Полная настройка займет около 5 минут, и вы можете сканировать, даже если ваш сайт защищен или за единственным входом.
Одним из основных факторов безопасности является контроль за ними, поэтому вы получаете уведомление, когда он падает или взломан.
Надеюсь, что вышеприведенный список поможет вам выполнить проверку безопасности на вашем веб-сайте.