Корисні інструменти

Перевірка сайту на шахрайство — інструкція та сервіси для аналізу

6 minutes
Оновлено 5 Березня 2024
Перевірка сайту на шахрайство — інструкція та сервіси для аналізу

За 2020 рік Google виявив понад 2 мільйони шахрайських сайтів. Люди зазвичай не перевіряють ресурси, на які заходять, а також легко ведуться на маніпуляції в мережі. У цій статті ми розглянемо способи, як визначити сайт шахрая не лише за допомогою самостійного аналізу, а й зі спеціалізованими сервісами.

Чим можуть бути небезпечні сайти шахраїв

Популярний спосіб шахрайства — це телефонні дзвінки, коли шахрай представляється співробітником банку і просить жертву продиктувати пароль або код із SMS.

Але є інші методи перехопити дані користувача:

  • Обіцянка великого заробітку.
  • Заклик терміново переказати гроші на інший рахунок, щоб захистити дані.
  • Запрошення встановити програмне забезпечення для захисту даних або щоб відкрити сторонній файл.
  • У червні 2022 року активізувалися шахраї, що під виглядом виплат від ЮНІСЕФ українцям, постраждалим від російської агресії, намагаються вкрасти гроші з банківських карток. Вони створюють сайти і Telegram-канали, де міксують правдиву інформацію з брехнею.
Повідомлення з каналу аферистів. Зверніть увагу на лінк, закріплений на кнопці. Це точно не сайт ЮНІСЕФ
Повідомлення з каналу аферистів. Зверніть увагу на лінк, закріплений на кнопці. Це точно не сайт ЮНІСЕФ
  • Повідомлення людям похилого віку нібито на них чекають певні соціальні виплати. Щоб отримати їх, ті мають повідомити банківські реквізити своєї картки.
  • Розсилка друзям зі зламаного облікового запису з проханням позичити або допомогти в скрутній ситуації.
  • Перенаправлення користувачів на сторонній ресурс — нібито через те, що на офіційному сайті ведуться технічні роботи.
  • Закриті форуми, на яких людина може знайти відповідь, але тільки після проходження процедури реєстрації.
  • Перехід на підроблені сайти, що повністю копіюють популярні інтернет-магазини чи лендинги брендів, на яких компанія нібито проводить розіграш.

Головна небезпека полягає в тому, що шахраї намагаються дістати ваші особисті дані та використовувати їх у корисливих цілях. Цей процес називається фішинг, що в перекладі з англійської означає «риболовля».

За інформацією глобальної платформи бізнес-даних Statista, станом на 1 квартал 2022 року найбільш уразливими інтернет-індустріями є фінансові установи, послуги програмного забезпечення та електронна пошта.

Інтернет-індустрії, що частіше за інших піддаються фішинговим атакам
Інтернет-індустрії, що частіше за інших піддаються фішинговим атакам. Statista

Сайти шахраїв ловлять неуважних користувачів, які добровільно діляться конфіденційною інформацією: телефон, електронна пошта, дані банківської картки, логіни та паролі від особистих кабінетів на інших ресурсах.

Ви можете потрапити на фішинговий сайт через посилання в оголошенні, розсилці або пошуку, де є форма для заповнення даних або вірус, який відразу ж активується на вашому ПК або смартфоні.

Перевірка сайту на справжність

У цьому розділі обговоримо деталі, на які потрібно звернути увагу, щоб розпізнати шахрайський сайт.

Доменне ім’я

Часто шахраї реєструють домени, URL яких схожий на адреси сайтів офіційних брендів, але містить не дуже помітні друкарські помилки або помилки:

  • Літери замінені символами — «sendpu1se.com»
  • Зайва буква в назві-sendpullse.com
  • Підміна алфавіту, який виглядає, як латинські літери.

До речі, за даними Statista, майже 30 % фішингових сайтів використовують назви брендів у адресі домену. За іншим дослідженням тієї ж організації, більш ніж половина шахраїв використовували домен верхнього рівня.com. За ним йшли.net і.xyz.

SSL-сертифікат

Перевірте безпеку ресурсу. В адресному рядку браузера поруч із URL сайту ви знайдете символ у вигляді «замочка». Якщо він закритий — сайт безпечний, якщо ні — перевіряйте інші деталі, тому що навіть перевірені ресурси іноді забувають купити чи продовжити SSL-сертифікат.

Приклад, як виглядає «Безпечне підключення»

Ви можете натиснути на розділ «Сертифікат дійсний» та перевірити термін його дії, а також побачити, кому та ким було видано дозвіл.

У сертифікаті ви можете звернути увагу на його тип:

  • Domain Validation — базовий рівень сертифіката, який підтверджує лише доменне ім’я. Символ замочка має сірий або білий колір.
Варіант, як переглянути тип сертифіката
Варіант, як переглянути тип сертифіката
  • Organization Validation — сертифікат, що підтверджує існування домену та організації. Його можуть дістати лише компанії. Символ «замочка» в рядку адреси має сірий або білий колір.
  • Extended Validation — ефективне та дороге рішення, яке вже рідко зустрінеш у Google Chrome. Його було складно отримати, оскільки центр сертифікації перевіряє всю діяльність організації та запитує офіційні документи. Символ замочка має зелений колір.

Зовнішній вигляд сайту

Подивіться на сайт і дайте відповідь на такі питання:

  • Текст на сайті відповідає всім стандартам мови та немає помилок?
  • Усі сторінки сайту заповнені?
  • Чи правильно заповнені картки товарів?
  • Клікабельна шапка сайту — логотип, номер телефону?
  • Правильно вказано офіційну назву компанії?
  • Чи є реквізити організації в підвалі сайту або на його сторінках: телефон, фірмова назва, ІПН, юридична адреса тощо?

Якщо ви відповіли на ці запитання «Ні», скоріш за все, потрапили на фішинговий сайт.

Угода користувача

Перевірте на сайті наявність користувальницької угоди, умов доставляння, гарантії та чи вказано «Політика конфіденційності». Знайдіть не лише згадку про ці документи, а й сам текст.

Приклад розташування документів
Приклад розташування документів

В угоді користувача не має бути згадок на сторонні компанії та інші реквізити, які відрізняються від тих, що вказані на сайті.

Не знайшли коректних документів угоди користувача — згорайте сайт.

Вік сайту

Подивіться футер сайту і знайдіть дату створення — вік ресурсу. Якщо портал створено нещодавно, це додатковий дзвіночок, що варто бути пильним.

Приклад, як компанія вказує вік сайту
Приклад, як компанія вказує вік сайту

Втім, якщо ви бачите у футері поточний рік, це не завжди означає, що сайт шахрайський. Часто навіть банки не пишуть рік створення. Скажімо, як «ПриватБанк»:

Частина футеру «ПриватБанку»
Частина футеру «ПриватБанку»

Відгуки

Вивчіть відгуки про домен. Якщо компанія офіційна, відгуки мають бути в картках організацій на Google, а також у спеціалізованих сервісах — наприклад, otzyvua.net. В іншому випадку ви знайдете сайти, на яких користувачі скаржаться, що потрапили на фішинговий ресурс.

Важливо! Якщо ви запідозрили сайт у шахрайстві, у жодному разі не заповнюйте форми зворотного зв’язку та не переходьте за посиланнями, з якими вам пропонують ознайомитись.

Форма може перекинути вас, скажімо, на гаманець у QIWI, де не буде можливості відстежити передачу грошей. На офіційних ресурсах завжди передбачено кілька способів оплати товару.

Сервіси для перевірки сайту на шахрайство

Сайт на шахрайство можна перевірити через спеціалізовані сервіси — про них і йтиметься нижче.

Перевірка через Google

Використовуйте безплатний онлайн-інструмент від Google, щоб перевірити статус сайту. Потрібно ввести URL ресурсу, почати перевірку та вивчити результат пошуку.

Нижче показано скриншот інструменту від Google:

Перевірка сайту інструментом від Google
Перевірка сайту інструментом від Google

Плюси:

  • Швидка перевірка.
  • Безплатний сервіс.

Мінуси:

  • Якщо сайт створено днями, найімовірніше, ці інструменти ще не встигли його проаналізувати та оцінити статус безпеки.

WOT

Web of Trust — безплатний сервіс для швидкої перевірки сайтів. Щоб він зміг проаналізувати сайт, вводьте URL-адресу без знака «слеш» та «https://».

Результат перевірки сайту
Результат перевірки сайту

Плюси:

  • Надає можливість перевірити IP-адресу.
  • Є розширення для Google Chrome. Надає звіт кожного порталу. А якщо на сайті є сліди фішингу чи забороненого контенту, доступ до ресурсу буде моментально заблокований.
  • Регулярно оновлюються алгоритми пошуку шкідливих сайтів.

Мінуси:

  • Не виявлено.

WhoIS

WhoIS — безплатний сервіс, який перевіряє інформацію про домен. Якщо ви хочете дістати більш точну та розширену інформацію про сайти, можете оформити передплату за 99 доларів на місяць.

Головна сторінка сервісу WhoIS
Головна сторінка сервісу WhoIS

Це результат перевірки сайту: хто зареєстрував, коли й за допомогою якого провайдера. А нижче — оцінювання якості сайту та інформація щодо IP.

Результат перевірки у WhoIS
Результат перевірки у WhoIS

Плюси:

  • Швидкий та зручний сервіс.
  • Широка база доменних назв.
  • Дає змогу відстежити реєстраційні дані шахраїв.

Мінуси:

  • Може показувати застарілу інформацію.
  • Немає даних щодо безпеки сайту.

VirusTotal

VirusTotal — безплатний сервіс, який перевіряє не лише посилання, а й файли на наявність вірусів.

Головна сторінка VirusTotal
Головна сторінка VirusTotal

Результат аналізу сайту:

Приклад перевірки сайту сервісом VirusTotal
Приклад перевірки сайту сервісом VirusTotal

Плюси:

  • Сканує посилання та файли.
  • Швидка перевірка.
  • Велика основа антивірусних движків.
  • Показує деталі сайту — IP-адресу, якість ресурсу, метатеги, трекери та посилання на сторінці.

Мінуси:

  • Немає мультиплатформності.

Висновок

У цій статті ми розглянули поняття «фішингові сайти» та визначили ключові деталі, за якими можна розпізнати небезпечний портал. А також розібрали варіанти спеціалізованих сервісів, які допомагають зрозуміти, чи він належить шахраям.

Рекомендації, які убезпечать вас від шахраїв:

  • Встановіть антивірус — подібні програми зараз мають вбудований інструмент для перевірки фішингу.
  • Оформіть віртуальну картку для онлайн-покупок, щоб ніде не показувати свої особисті дані.
  • Увімкніть двофакторну автентифікацію, щоб у разі злому можна було швидко повернути доступ до даних.
  • Використовуйте безпечні браузери, які підтримують антифішинговий захист, скажімо, Google Chrome або Safari.
  • Якщо ви не впевнені в безпеці сайту, перевірте його через онлайн-сервіси, перш ніж виконувати будь-які дії на його сторінках.

Щоб створити якісний односторінковий сайт, скористайтесь конструктором лендингів від SendPulse. До нього ви зможете під’єднати CRM, email, Viber та SMS розсилки, а також чат-боти в Instagram, Facebook Messenger, Telegram та WhatsApp!

Дата публікації:

1 Липня 2022
Віталій Весьолов

Журналіст без диплома, копірайтер без сертифікатів, тексти без води, трафік без проблем

1 Star2 Stars3 Stars4 Stars5 Stars
Loading...
Середня оцінка: 5/5
Всього голосів: 2

Поділитися:

Facebook Twitter