Данная глава будет одной из самых простых и коротких в курсе, и многие по ее прочтении скажут, что это же очевидно. Может быть, и очевидно, но описываемый прием активно используется и эффективно работает.
Перед вами сайт WWW.PANlCBUTTON.PW, вы прекрасно знаете его. Но на самом деле это совсем не та ссылка, которую вы видите. Дело в том, что в латинском алфавите заглавная буква i и строчная L пишутся примерно одинаково, в этой ссылке вместо большой i написана маленькая L.
Как правило, популярные сайты, включающие i в доменное имя, самостоятельно регистрируют вариант с написанием через L и делают переадресацию с него на основной домен. Но сайты поменьше часто пренебрегают этим, чем делают настоящий подарок злоумышленникам.
Мошенники регистрируют варианты сайта с написанием через l и используют для фишинга, при этом доменное имя всегда пишется только большими буквами. Для чего используется подмена ссылки, мы уже говорили в этой главе.
Конечно, в строке браузера заглавные буквы преобразуются в строчные, и все выглядит не так красиво, но, во-первых, не многие проверяют адресную строку после открытия ссылки, особенно если речь идет о длинной ссылке, а, во-вторых, при атаке, направленной на сбор данных о жертве, открытие ссылки и есть главная задача атакующего.
Подобная схема активно используется мошенниками и в Telegram. Работает она так: @service и @SERVlCE – визуально два этих Telegram ID одинаковы, просто один написан строчными буквами, другой – заглавными, но, как вы догадываетесь, во втором случае используется подмена букв. Это излюбленный прием мошенников в Telegram, и он отлично работает.
Прочитав эту главу, вам стоит запомнить одну простую мысль: если вам кидают ссылку на сайт, адрес которого написан большими буквами, это может быть ловушка, если Telegram ID написан большими буквами, это может быть аккаунт мошенника. Будьте аккуратны.
Совет
Если ссылка на сайт или Telegram ID написаны заглавными буквами проверьте отсутствие подмены символов i на L.
Для проверки ссылки или Telegram ID написанных заглавными буквами просто введите их на этом сайте. Подмена сразу будет очевидна.