AI-агентура
AI-агентура · Инструмент

Анти-фишинг проверка URL

Вставьте подозрительную ссылку — покажу 13 проверок: кириллицу под латиницу, IDN punycode, typosquat известных брендов, IP вместо домена, @-трюки, подозрительные TLD и поддомены. Работает локально, ссылку никуда не отправляю.

Какие приёмы фишеры используют

Homoglyph (кириллица под латиницу). Буквы «а», «е», «о», «р», «с» из кириллицы визуально неотличимы от латинских, но это разные символы Unicode. Атакующий регистрирует sbеrbank.ru (с кириллической «е») и шлёт ссылки в Telegram/email.

@-трюк. В URL https://paypal.com@evil-site.ru/ браузер открывает evil-site.ru, а не paypal.com. Всё, что слева от @, игнорируется.

IDN punycode. Браузер показывает xn--80aacdcpbnnbdfilel4d.com — это закодированный unicode-домен. Если декодировка содержит подозрительные символы — это попытка обмана.

Typosquat. Регистрация домена на 1-2 символа отличающегося от популярного: gogle.com, microsft.com, paypa1.com, sberbamk.ru.

Бренд в поддомене. sberbank.evil-domain.ru — реальный домен это evil-domain.ru, а sberbank — лишь поддомен, чтобы вы расслабились.

Подозрительные TLD. .tk, .ml, .ga, .gq, .cf, .top, .xyz часто используются для одноразовых фишинговых страниц — там бесплатная или очень дешёвая регистрация.

Сокращатели ссылок. bit.ly, t.co, goo.gl, vk.cc скрывают реальный адрес. Прежде чем переходить — раскройте через unshorten.me.

Триггерные слова. «verify», «secure», «login», «account», «bonus», «free» в URL — психологическое давление + признак фишинговой страницы.

Часто задаваемые вопросы

Какие приёмы фишинга утилита распознаёт?
13 проверок: homoglyph (кириллица под латиницу: а/а, е/е, о/о), IDN punycode (xn--), IP-адрес вместо домена, @-трюк (paypal.com@evil.ru), typosquat 40+ известных брендов через Levenshtein distance, бренд в поддомене (sberbank.evil.com), подозрительные TLD (.tk/.ml/.ga/.gq/.cf/.top/.xyz), URL-shorteners (bit.ly, t.co, vk.cc), HTTP без шифрования, много дефисов, триггерные слова (login/verify/secure/bonus).
Что значит вердикт?
Скоринг 0-100. 90-100 — низкий риск. 60-89 — будьте внимательны. 30-59 — высокий риск. 0-29 — очень похоже на фишинг. Учтите: 100 баллов не гарантирует легитимность, всегда проверяйте контекст (откуда пришла ссылка, зачем нужна авторизация).
Отправляется ли URL на проверку в облако?
Нет. Все проверки делаются локально в браузере по эвристикам и спискам. Ваши ссылки никуда не уходят. PWA — можно установить и проверять офлайн.
Как пользоваться по клику «?»?
У каждой проверки в результате есть кнопка «?» — нажмите чтобы открыть модалку с подробным объяснением: как работает атака, почему это опасно, как защититься. Объяснения на 200-400 слов, без жаргона.
Почему утилита помечает безопасные сокращатели?
Сокращатели (bit.ly, t.co, vk.cc) сами по себе не мошенничество, но они скрывают реальный URL. Утилита помечает их информационно — раскройте через unshorten.me перед переходом, чтобы понять куда вас ведут.

Бросьте файл сюда