Отправить билет Мои билеты
Добро пожаловать
Вход в систему  Зарегистрироваться
  1. PowerDMARC
  2. Дом решений
  3. Руководство пользователя функций PowerDMARC
  4. Проверка похожих доменов

Как оцениваются похожие домены

Поддержка PowerDMARC
Изменено: понедельник, 30 марта 2026 г., 15:00

Обзор

Инструмент проверки похожих доменов PowerDMARC присваивает каждому обнаруженному похожему домену оценку риска от 0 до 100% . Эта оценка отражает общую вероятность того, что домен представляет угрозу фишинга, подделки личности или злоупотребления брендом для вашей организации.

Каждый балл соответствует определенному уровню риска:

  • Низкий риск: 0–29%

  • Средний риск: 30–69%

  • Высокий риск: 70–100%

Что влияет на итоговый счет?

Показатель риска рассчитывается на основе четырех параметров, каждый из которых имеет определенный вес:

Атрибут

Масса

Что именно измеряет

Статус домена

20%

Зарегистрирован ли похожий домен, находится ли он в парковке или не зарегистрирован (доступен для покупки).

Тип атаки

20%

Метод мутации, используемый для создания похожего домена.

DNS-записи

35%

Какие DNS-записи (A, MX, NS) присутствуют для домена?

Статус SSL

25%

Состояние SSL-сертификата домена


Как оценивается каждый атрибут

Статус домена (20%)

Статус регистрации похожего домена является сильным сигналом о намерениях. Домен, который был активно зарегистрирован, с большей вероятностью будет использоваться в злонамеренных целях, чем тот, который просто может существовать.

  • Зарегистрировано — Домен имеет активные DNS-записи и принадлежит кому-то. Это дает полный вес (100% из 20%).

  • Припарковано — Домен зарегистрирован, но не отображает никакой значимой почтовой инфраструктуры (нет записи MX, а SPF установлен на v=spf1 -all ). Этому адресу присваивается половина веса (50% от 20%).

  • Не зарегистрировано — Домен не разрешается и не имеет DNS-сервера. Это никак не влияет на оценку (0%).

Тип атаки (20%)

Различные методы мутации несут в себе разный уровень риска в зависимости от того, насколько они обманчивы и как часто встречаются в реальных фишинговых кампаниях.

  • Омограф (IDN) — использует визуально идентичные символы Юникода (например, кириллическую «а» вместо латинской «а»). Это наиболее обманчивый тип атаки, и он получает полный вес (100% из 20%).

  • Тайпосквоттинг — использование распространённых ошибок ввода текста, встречающихся рядом с клавиатурой (например, "gogle.com"). Получает 70% веса.

  • Все остальные типы — удаление, вставка, замена, транспозиция, повтор и вариация TLD — получают по 50% веса. Хотя они по-прежнему представляют собой актуальные угрозы, опытному глазу, как правило, легче их обнаружить.

DNS-записи (35%)

Наличие DNS-записей указывает на то, что домен активно настроен и потенциально используется. Этот атрибут имеет наибольший вес, поскольку домен с почтовой и веб-инфраструктурой гораздо чаще используется в атаках.

DNS-рейтинг представляет собой сумму вкладов отдельных записей:

  • Наличие записи означает, что она вносит 30% в общий DNS-вес (домен преобразуется в IP-адрес и может размещать веб-сайт).

  • MX-запись присутствует — вносит 40% в общий вес DNS (домен может отправлять и получать электронную почту — критически важный сигнал для оценки риска фишинга).

  • NS-запись присутствует — вносит 30% в общий вес DNS (домену назначены серверы имен).

Если присутствуют все три типа записей, домен получает полный вклад в размере 35%. Если ни один из них не присутствует, этот атрибут вносит 0%.

Статус SSL (25%)

Наличие SSL-сертификата может указывать на то, что кто-то приложил усилия для того, чтобы домен выглядел легитимным. Браузеры отображают значок замка для сайтов с действительными сертификатами, что повышает доверие пользователей — то, чем злоумышленники и пользуются.

  • Действителен — имеется доверенный сертификат, домен соответствует данным, и сертификат действителен. Полный вес (100% от 25%).

  • Просроченный, недействительный или ненадежный — сертификат существует, но имеет проблемы (просрочен, не соответствует домену, самоподписанный или нарушена цепочка доверия). Каждому из этих пунктов присваивается 80% веса, поскольку наличие любого сертификата все равно указывает на преднамеренную настройку.

  • Отсутствует — Сертификат не предоставлен или HTTPS недоступен. Это значение не учитывается, так как может просто указывать на то, что домен не поддерживается активно.

Примеры подсчета баллов

Пример 1 — Низкий риск (20%)

Припаркованный домен без DNS-инфраструктуры и SSL-сертификата:

  • Статус домена: Припаркован → 20% × 0,5 = 10

  • Тип атаки: Повторение → 20% × 0,5 = 10

  • DNS-записи: Нет → 35% × 0 = 0

  • Статус SSL: Отсутствует → 25% × 0 = 0

  • Всего: 20% — Низкий риск

Пример 2 — Средний риск (51%)

Зарегистрированный домен с частичными DNS-записями, но без SSL:

  • Статус домена: Зарегистрирован → 20% × 1,0 = 20

  • Тип атаки: Повторение → 20% × 0,5 = 10

  • DNS-записи: A + NS присутствуют, MX отсутствует → 35% × 0,6 = 21

  • Статус SSL: Отсутствует → 25% × 0 = 0

  • Всего: 51% — Средний риск

Пример 3 — Высокий риск (100%)

Зарегистрированный домен, использующий омографическую атаку с полными DNS-записями и действительным SSL-сертификатом:

  • Статус домена: Зарегистрирован → 20% × 1,0 = 20

  • Тип атаки: Омограф → 20% × 1,0 = 20

  • DNS-записи: A + MX + NS — все присутствуют → 35% × 1,0 = 35

  • Статус SSL: Действителен → 25% × 1,0 = 25

  • Итого: 100% — Высокий риск


P
PowerDMARC является автором этой статьи о решении.

Нашли ли вы его полезным? Да Нет

Отправить отзыв
Извините, мы не смогли быть полезными. Помогите нам улучшить эту статью с помощью ваших отзывов.