Как отличить настоящий сайт от подделки: чек-лист и примеры

Иван Корнев·01.05.2026·5 мин

Чтобы найти официальный сайт компании и не стать жертвой мошенников, нужно проверить три ключевых элемента: точное написание домена (исключая опечатки), наличие валидного SSL-сертификата на имя владельца бренда и юридические реквизиты в разделе «Контакты». Самый надежный способ — переходить на ресурс через верифицированные профили компании в социальных сетях или из приложений официальных партнеров, а не через прямую ссылку из сомнительной рассылки или рекламы в поиске.

Мошенники создают сайты-клоны, которые визуально копируют дизайн банков, маркетплейсов или госуслуг. Их цель — украсть данные карт, логины и пароли. Ниже приведена система проверки, которая занимает менее минуты, но спасает от потери денег.

Оглавление

Быстрые признаки официального ресурса

Первичная оценка происходит за секунды. Если хотя бы один пункт вызывает сомнения, прекращайте взаимодействие с сайтом.

  1. Доменное имя. Оно должно быть кратким, понятным и соответствовать бренду. Официальные ресурсы крупных компаний редко используют длинные цепочки слов через дефис.
  2. Протокол HTTPS. Наличие замка в адресной строке обязательно. Однако сам по себе замок не гарантирует честность компании — он лишь шифрует соединение. Мошенники тоже используют HTTPS. Важно кликнуть на замок и посмотреть, кому выдан сертификат.
  3. Качество контента. На фишинговых сайтах часто встречаются битые картинки, текст с грамматическими ошибками, непереведенные фрагменты или устаревшие новости (например, акции 2021 года в 2026-м).
  4. Поведение браузера. Если браузер или антивирус показывает красное предупреждение «Сайт опасен» или «Подозрительное ПО», не игнорируйте его.

Лайфхак: используйте поиск по картинке. Сделайте скриншот логотипа или главного баннера и загрузите его в Яндекс.Картинки или Google Lens. Часто это помогает найти оригинальный источник дизайна и сравнить URL.

Анатомия мошеннического домена: разбор примеров

Мошенники используют техники тайпсквоттинга (опечатки) и визуальной мимикрии. Рассмотрим конкретные примеры на базе условных брендов.

Пример 1: Подмена символов (Тайпсквоттинг)

Предположим, официальный сайт банка — sberbank.ru.

Тип доменаПример URLПочему это подделка
Оригиналsberbank.ruКорректное написание, известный бренд.
Замена буквыsberbonk.ruЗамена a на o. При беглом взгляде незаметно.
Добавление словаsberbank-online-login.ruОфициальные банки редко используют такие длинные конструкты для основного входа.
Другая зонаsberbank.comМожет принадлежать другой компании или быть паркованным доменом. Для РФ-банка приоритетна зона .ru или .рф.

Пример 2: Использование поддоменов

Мошенники часто регистрируют дешевый домен и создают поддомен, имитирующий бренд.

  • Опасно: sberbank.verify-account-security.com
    • Здесь основной домен — verify-account-security.com. Часть sberbank — это просто поддомен, который может написать кто угодно.
  • Безопасно: online.sberbank.ru
    • Основной домен — sberbank.ru. Поддомен online контролируется владельцем основного домена.

Всегда смотрите на последние две части доменного имени перед первым слэшем. Именно они определяют владельца ресурса. Всё, что написано перед ними слева — это поддомены, которые не гарантируют принадлежность к бренду.

Пример 3: Госуслуги и государственные органы

Для государственных структур в РФ существует строгий регламент.

  • Официально: gosuslugi.ru, nalog.gov.ru, mvd.gov.ru.
  • Подделка: gos-uslugi-help.ru, goruslugi.net, gosuslugi-official.com.

Государственные сайты почти всегда находятся в зонах .gov.ru, .mil.ru или .ru (для порталов вроде Госуслуг). Использование зон .com, .net, .biz для федеральных органов — красный флаг.

Глубокая проверка: сертификаты и реквизиты

Если домен выглядит правдоподобно, перейдите к технической и юридической верификации.

Проверка SSL-сертификата

  1. Нажмите на значок замка слева от адреса сайта.
  2. Выберите пункт «Сертификат действителен» или «Подробнее».
  3. Найдите поле «Выдано» (Issued to) или «Общее имя» (Common Name).
  4. Сравните название организации с ожидаемым брендом.

Если на сайте «Альфа-Банка» в сертификате указано Let's Encrypt Authority без указания юридического лица, или имя организации звучит как IP Ivanov I.I., а не AO Alfa-Bank, это повод насторожиться. Крупные компании используют сертификаты уровня OV (Organization Validation) или EV (Extended Validation), где имя компании прописано явно.

Юридическая информация

На любом легальном коммерческом сайте в России (согласно ФЗ-54 и требованиям РКН) должна быть информация о юридическом лице.

  1. Прокрутите страницу в самый низ (футер).
  2. Найдите раздел «О компании», «Реквизиты» или «Правовая информация».
  3. Там должны быть указаны:
    • Полное наименование ООО или АО.
    • ИНН / ОГРН.
    • Юридический адрес.

Скопируйте ИНН и проверьте его через любой сервис проверки контрагентов (например, на сайте ФНС). Если компания ликвидирована или адрес указан как «массовый», перед вами мошенники.

Частые ошибки при проверке

  1. Доверие к рекламе в поиске. Мошенники покупают контекстную рекламу по брендовым запросам. Первые 2–3 ссылки в поиске могут вести на фишинг. Всегда смотрите на пометку «Реклама» и сверяйте домен.
  2. Игнорирование редиректов. Вы вводите company.ru, но вас перекидывает на company-best-offer.xyz. Это признак взлома домена или настройки вредоносного перенаправления.
  3. Проверка только главной страницы. Фишинговые страницы часто живут по глубоким ссылкам (например, site.com/login/secure). Проверяйте именно тот адрес, где вы вводите данные.
  4. Уверенность в «красивом» дизайне. Современные конструкторы сайтов позволяют создать клон за 15 минут. Дизайн больше не является гарантом надежности.

FAQ: ответы на популярные вопросы

Можно ли доверять сайту, если у него есть группа в ВКонтакте с галочкой? Да, это один из самых надежных признаков. Переходите на сайт только по ссылке из описания верифицированного сообщества. Мошенники не могут получить официальную галочку платформы, выдавая себя за крупный бренд.

Что делать, если я уже ввел данные на подозрительном сайте? Немедленно смените пароль от этого сервиса (если он использовался где-то еще). Если вводили данные карты — заблокируйте карту через приложение банка и закажите перевыпуск. Если вводили код из СМС — сообщите банку о возможном мошенничестве.

Как проверить сайт на вирусы? Используйте бесплатные онлайн-сканеры, такие как VirusTotal. Вставьте URL сайта в поле поиска. Сервис проверит ресурс по десяткам антивирусных баз. Если хотя бы 2–3 двигателя помечают сайт как опасный (phishing/malicious), не заходите на него.

Отличается ли проверка для иностранных компаний? Принципы те же, но доменные зоны будут другими (.com, .org, .eu). Для иностранных компаний критически важно проверять SSL-сертификат на наличие названия бренда (OV/EV сертификаты), так как проверить их юридические реквизиты через российские реестры невозможно.