Контроль доменных переадресаций и коротких ссылок маркетинга во избежание фишинга от имени бренда

Современные технологии и удобные инструменты, такие как короткие ссылки, голосовые помощники или чат-боты, которые прочно вошли в наше ежедневное использование, также быстро освоили и злоумышленники. Раньше можно было гораздо проще распознать фишинг: по излишне агрессивным письмам и подозрительным сайтам, сделанным на скорую руку – теперь злоумышленники используют искусственный интеллект: стиль письма обрел убедительность и грамотность, а фишинговые сайты сделались почти точной копией настоящих.

Теперь атаки выглядят как привычные уведомления: письма об акциях сетевых магазинов и ресторанов или СМС с подтверждением заказа от любимого маркетплейса. Для реализации подобных атак злоумышленники используют редиректы – это автоматическое перенаправление пользователя с одного URL-адреса (адреса страницы) на другой; и короткие ссылки – сокращенные URL-адреса, которые с помощью редиректа открывают родительскую ссылку. У таких атак высокий процент успешной реализации, потому что для обычного пользователя крайне затруднительно отличить, где заканчиваются реальные сообщения от компании и начинается мошенничество. В результате получается двойной урон: финансовые потери несут клиенты, тогда как компании подвергаются репутационному ущербу.

Как работают многоуровневые обманные цепочки

Сейчас фишинговые атаки практически никогда не ведут пользователя сразу на вредоносный сайт. Злоумышленники выстраивают цепочки из нескольких переадресаций. Сначала используется доверенный домен или популярный сервис сокращения ссылок, затем используются несколько промежуточных узлов. Среди них может быть еще один сервис сокращения ссылок и так называемый сайт-прокладка, предназначенный для подмены конечного адреса в случае блокировки. Лишь в самом конце цепочки находится страница, на которой и совершается обман. Как можно заметить, такой подход усложняет и ручную проверку ссылки, и работу защитных систем.

Злоумышленники полагаются прежде всего на доверие клиентов к брендам и известным сервисам ссылок. В видимой части URL-адреса пользователь видит знакомое имя компании или сервис сокращения, теряет бдительность и уже не замечает, что конечный адрес не является доверенным. Особенно остро такой тип мошенничества применяется в СМС и мессенджерах, где короткие ссылки используются довольно часто, а функция полноценного предпросмотра адреса не всегда реализована. В результате легитимная кампания и фишинговая рассылка могут выглядеть для пользователя идентично. Однако стоит обратить внимание, что с этой проблемой сталкиваются не только физические лица, но и бизнес. Далее рассмотрим, каким образом выстроить контроль доменов, редиректов и коротких ссылок, не превращая безопасность в тормоз для бизнеса.

Защита через инвентаризацию, контроль доменов и переадресаций

В первую очередь необходимо проверить, какие домены есть у конкретной компании и как они используются. Требуется собрать актуальный реестр всех доменов и поддоменов: основной сайт, промо‑страницы, технические адреса, домены под короткие ссылки. Кроме того, необходимо строго ограничить любые серые домены (домены с сомнительной историей или репутацией) – все, что идет в публичную среду от имени бренда, должно быть оформлено в установленном виде и управляемо.

Отдельного рассмотрения требуют открытые перенаправления. Это такие случаи, когда страница бренда может перенаправить пользователя практически куда угодно по параметру в URL. Безусловно, это удобно для маркетинга и аналитики, но это также является готовым инструментом для атак. Чтобы не превращать сайт компании в рабочее средство для мошенников, необходимо вести белые списки целевых доменов, валидируя параметры редиректа, а также регулярно проверять на наличие открытых переадресаций. Важным условием будет максимальное сокращение цепочки редиректов, поскольку каждый лишний переход – новая точка входа для злоумышленников.

Брендированные короткие домены для повышения доверия

Следующим этапом является работа с короткими ссылками. Вместо безымянных коротких доменов компании все чаще выбирают переход с безымянных коротких доменов на собственные брендированные, которые сразу вызывают ассоциацию с компанией и лояльность пользователя. Благодаря такому подходу, пользователям становится проще на интуитивном уровне отличить безопасную ссылку от подозрительной, а мошенникам сложнее правдоподобно подделать такой домен.

Тем не менее, важно не только иметь свой домен, но и выстроить единый процесс работы с короткими ссылками. Все ссылки для внешних коммуникаций лучше генерировать в одной системе, где формализованы роли и права, и имеются единые правила по UTM‑меткам (это параметры в URL-ссылке, которые передают данные об источнике трафика), срокам жизни и базовым настройкам безопасности. Тогда подозрительную ссылку можно быстро выключить, перенастроить, увидеть аномальные всплески кликов и более оперативно реагировать на жалобы пользователей.

Единая система управления ссылками

Наилучшие результаты будут при выстраивании процесса взаимодействия с системами безопасности. Но важно понимать, что технические решения не спасут, если не выстроена система понятных ролей и правил. Маркетинг должен отвечать за содержание кампаний, формулировки, UTM‑структуру, а информационные технологии и информационная безопасность (ИТ и ИБ), в частности, должны отвечать за домены, архитектуру редиректов, мониторинг и реагирование на инциденты. Иначе новые домены под промо-кампании и нелегитимное использование сервисов сокращения будут постоянно проявляться, в обход общих правил.

Процесс запуска кампаний необходимо дополнять обязательным чек‑листом по ссылкам. Перед отправкой рассылки или запуском новой промо‑страницы имеет смысл протестировать ссылки через проверку: домены, цепочки редиректов, отсутствие открытых перенаправлений, адекватный внешний вид URL для пользователя. Периодически нужно ревизовать шаблоны писем, СМС, push‑уведомлений, убирая устаревшие и потенциально рискованные конструкции.

Учим сотрудников определять фишинг

Бизнесу необходимо внедрять обучение персонала, показывать маркетологам, продавцам и клиентскому сервису реальные примеры эксплуатации брендов: фишинговые письма, поддельные личные кабинеты, СМС и сообщения в мессенджерах про «блокировку карты или аккаунта», или письма с «компенсацией, премией, выигрышем», где просят ввести пароль, код или данные карты. Важно дополнительно продемонстрировать недопустимые форматы ссылок: любые домены вне периметра компании, личные и непроверенные сервисы сокращения, ссылки без понятного контекста и переходы, после выполнения которых сразу запрашиваются чувствительные данные. Следующим этапом необходимо обучить сотрудников тому, как выглядят легитимные коммуникации: только официальные домены и утвержденные поддомены, читаемые ссылки с понятным путем, единый фирменный шаблон, отсутствие запросов паролей и кодов прямо из письма или СМС. Как показывает практика, одним из самых эффективных форматов обучения являются короткие пары примеров: фишинговое письмо и корректное письмо бренда с подробным разбором отличий; чтобы сотрудники в будущем быстро и эффективно распознавали опасные ссылки и сценарии, а также знали, как на них реагировать.

План действий на случай инцидента

Параллельно с профилактикой нужно обеспечить готовность к реагированию. Со стороны ИТ и ИБ нужны сценарии реагирования на инциденты. Например, злоумышленники нашли и использовали открытый редирект в инфраструктуре компании, подменили легитимные ссылки на вредоносные – в этом случае у команды должен быть утвержденный и отработанный план действий: быстро ограничить уязвимый функционал, отозвать скомпрометированные ссылки, проанализировать логи и уведомить пользователей, партнеров и руководство. После инцидента правила и настройки стоит пересмотреть: усилить проверки, обновить шаблоны кампаний, расширить мониторинг.

В настоящее время становится очевидным то, что контроль доменных переадресаций и коротких ссылок перестает быть разовым проектом и становится частью нормальной жизни бизнеса в цифровой среде.

Автор: Юлия Сонина, старший аналитик Аналитического центра УЦСБ