Этот инструмент выполняет глубокое обнаружение фишинга/мошенничества в одном URL, анализируя его структуру. Он намеренно дополняет URL Validator: тот проверяет базовые сигналы протокола/IP/XSS, тогда как этот инструмент сосредоточен на техниках обмана, которые злоумышленники используют, чтобы вредоносный URL выглядел легитимным.
Что проверяет (6 измерений):
- Омоглиф IDN (смешанный шрифт) 🔴 — интернационализированные домены (punycode
xn--), смешивающие шрифты (напр. латиница + кириллица). Это атака «аpple.com»: кириллическая «а» выглядит идентично латинской «a», но ведёт на другой домен.
- Встроенные учётные данные (userinfo) 🔴 — трюк
user:pass@host: https://[email protected] ставит бренд до "@", но РЕАЛЬНЫЙ адресат — evil.com. Браузеры скрывают userinfo, что крайне обманчиво.
- Высокорисковые TLD 🟠 — TLD, часто используемые для спама/мошенничеств (дешёвая/бесплатная регистрация:
.tk .xyz .top .click и др.). Не обязательно злонамеренно, но сильный сигнал осторожности.
- Аномалии кодирования 🟠/🟡 — двойное процентное кодирование (
%2561), кодированные последовательности протокола и управляющие символы C0 — всё для обхода WAF или обмана читателя.
- Обман поддомена 🟠 — название бренда в позиции поддомена (
paypal.security-update.com); регистрируемый домен — security-update.com, не связанный с PayPal.
- Числовая/IP-обфускация 🟠 — голые IP-хосты (
192.168.1.1) или обфусцированные числовые формы (hex/десятичные), скрывающие адресат.
Оценка риска. Каждая находка добавляет к счёту 0-100 (критично 35, высоко 20, средне 10, низко 4), отображаясь как Низкий/Средний/Высокий/Критичный.
Ограничения. Это только статический структурный анализ — сетевой запрос не делается, поэтому нельзя обнаружить свежезарегистрированные вредоносные домены, скомпрометированные легитимные сайты или цепочки редиректов. НЕ заменяет intel об угрозах в реальном времени вроде Google Safe Browsing. Оценка «Низкий» означает, что структурных фишинговых сигналов не найдено, а НЕ что адресат безопасен.