Данная глава будет одной из самых простых и коротких в курсе, и многие по ее прочтении скажут, что это же очевидно. Может быть, и очевидно, но описываемый прием активно используется и эффективно работает.

Перед вами сайт WWW.PANlCBUTTON.PW, вы прекрасно знаете его. Но на самом деле это совсем не та ссылка, которую вы видите. Дело в том, что в латинском алфавите заглавная буква i и строчная L пишутся примерно одинаково, в этой ссылке вместо большой i написана маленькая L.

Как правило, популярные сайты, включающие i в доменное имя, самостоятельно регистрируют вариант с написанием через L и делают переадресацию с него на основной домен. Но сайты поменьше часто пренебрегают этим, чем делают настоящий подарок злоумышленникам.

Мошенники регистрируют варианты сайта с написанием через l и используют для фишинга, при этом доменное имя всегда пишется только большими буквами. Для чего используется подмена ссылки, мы уже говорили в этой главе.

Конечно, в строке браузера заглавные буквы преобразуются в строчные, и все выглядит не так красиво, но, во-первых, не многие проверяют адресную строку после открытия ссылки, особенно если речь идет о длинной ссылке, а, во-вторых, при атаке, направленной на сбор данных о жертве, открытие ссылки и есть главная задача атакующего.

Подобная схема активно используется мошенниками и в Telegram. Работает она так: @service и @SERVlCE – визуально два этих Telegram ID одинаковы, просто один написан строчными буквами, другой – заглавными, но, как вы догадываетесь, во втором случае используется подмена букв. Это излюбленный прием мошенников в Telegram, и он отлично работает.

Прочитав эту главу, вам стоит запомнить одну простую мысль: если вам кидают ссылку на сайт, адрес которого написан большими буквами, это может быть ловушка, если Telegram ID написан большими буквами, это может быть аккаунт мошенника. Будьте аккуратны.