07.05.2023
1 хв
1959
Фавікони – це маленькі іконки, які відображаються у вкладках браузера та закладках сайтів. Вони не лише покращують впізнаваність бренду, але й мають важливе значення у OSINT-дослідженнях. Аналіз фавіконів допомагає виявити фішингові сайти, відстежити пов’язані домени та розкривати приховані зв’язки між ресурсами.
Фавіконки на веб-сайтах — це графічні елементи, які відображаються у вигляді маленької піктограми на панелі вкладок браузера поруч із назвою веб-сайту або у списку закладок на веб-сайти. Крім того, піктограми веб-сайтів можна побачити безпосередньо у результатах пошуку Google, якщо взяти назву сайту в лапки. Це можна побачити у прикладі нижче: “osintme.com”
Щоб знайти посилання на піктограми цільових веб-сайтів, слід переглянути вихідний код сторінки.
Для цього виконайте наступні дії:
Натисніть правою кнопкою миші та оберіть «Переглянути вихідний код сторінки».
Використайте функцію пошуку на сторінці (зазвичай активується комбінацією Ctrl + F).
Шукайте такі параметри:
Розширення файлів: Наприклад, .jpg, .png, .gif, .ico. Традиційним форматом файлу фавіконів є .ico (формат значка), і цей формат досі широко використовується. Водночас, можна зустріти й інші поширені формати зображень. Варто зазначити, що цей спосіб пошуку у вихідному коді має недолік — на сайтах з великою кількістю графічних елементів пошук видасть багато зображень, а не лише фавікон.
sizes=: Пошук цього параметра дозволяє знаходити зображення з чітко заданими розмірами у пікселях. Як правило, піктограми веб-сторінок мають фіксовані розміри, які відповідають вимогам відображення у вкладках браузера та закладках. Найпоширеніший стандартний розмір фавіконів — 16×16 пікселів, однак сучасні сайти часто використовують й інші розміри, зокрема 32×32 та 64×64 пікселів. Більші розміри піктограм зазвичай використовуються для мобільних пристроїв, смарт-телевізорів та інших платформ.
rel="icon": Цей атрибут вказує на зображення, яке браузер використовує як фавікон сайту. Пошук за цим параметром є одним із найшвидших і найзручніших способів знайти фавікон у вихідному коді сторінки.
Таким чином, аналіз вихідного коду веб-сторінки та пошук за наведеними параметрами допомагає швидко знайти та визначити фавікон цільового сайту.
Фавіконка звичайного настільного браузера – 16×16
Ярлик на панелі завдань – 32×32
Ярлик на робочому столі – 96×96
Google TV – 96×96
iPhone – 120×120; 180×180
iPad – 152×152; 167×167
Значок веб-магазину Chrome – 128×128
Значок Android Chrome – 196×196
Фавікони мають кілька варіантів використання, не пов’язаних із нашим варіантом використання веб-сайту OSINT.
До найпоширеніших з них відносяться:
Оптимізована навігація вкладками браузера
Краща взаємодія з користувачем у браузері та в Інтернеті
Підвищений показник оптимізації пошукової системи (SEO) для веб-сайту
Впізнаваність бренду та створення репутації
Відстеження активності веб-переглядача – перегляньте цю статтю Vice і публікацію в блозі Брюса Шнайера.
Шахрайські веб-сайти часто копіюють або безпосередньо посилаються на піктограму з оригінального сайту. Такий прийом застосовується для створення враження автентичності та підвищення довіри до фальшивого ресурсу.
Основна мета дослідження піктограм — виявлення шахрайських веб-сайтів, що маскуються під офіційні ресурси. Нижче наведено актуальний набір інструментів для проведення розслідувань у 2025 році.
Favicone – служба API, яка дозволяє легко отримувати та обслуговувати favicone з будь-якого веб-сайту. По суті, ви вставляєте назву веб-сайту в URL-адресу й маєте негайно отримати результат. Favicone також пропонує коротке пояснення того, які потенційні проблеми можуть виникнути та чому.
Favicon Grabber – подібна ідея та функціональність, що й вище – ви додаєте цільовий домен до основної URL-адреси. Суб’єктивно я вважаю цей інструмент менш надійним, ніж Favicone, але добре мати резервну копію на всякий випадок.
Favihash – цей новий інструмент для Predicta Labs робить більше, ніж два вище. Це дозволяє обчислити хеш-значення favicon на сайтах clearnet/darknet, а потім визначити інші веб-сайти, які мають таке саме хеш-значення. Favihash приймає дані як з URL-адреси, так і з локальної машини. Згенеровані таким чином хеші можна згодом шукати в таких службах, як Virus Total, Shodan тощо.
Favicon-hash – як і Favihash, цей інструмент дозволяє користувачам завантажувати зображення favicon або обробляти введену URL-адресу за допомогою favicon, щоб генерувати хеш-значення, які можна шукати на Virus Total, Shodan і Censys.
Якщо з будь-якої причини ви не хочете використовувати веб-інструменти, ви можете перевірити Favicorn і Favihunter . Обидва вони вимагатимуть локальної інсталяції та запускатимуться з командного рядка; вони вимагають трохи більше роботи для налаштування, але вони пропонують більше розуміння з точки зору різновидів хеш-значення.
Розглянемо приклад розслідування фальшивих веб-сайтів, які маскуються під Amazon UK або беруть участь у фішингових кампаніях та поширенні спаму, використовуючи ім’я цієї юридичної особи.
Першим етапом у дослідженні є пошук піктограми веб-сайту Amazon UK, що виконується досить просто за посиланням:
Після отримання файлу фавікону наступним кроком буде обчислення його хеш-значення за допомогою одного з інструментів, згаданих раніше.
Звідти ми можемо почати пошук хеш-значення favicon 1941681276 і хеш-значення md5 ca6619b86c2f6e6068b69ba3aaddb7e4 як у Shodan, так і в Censys.
Ви можете побачити кілька законних веб-сайтів та IP-адрес, пов’язаних із різними службами Amazon. Однак, коли ви відфільтруєте результати пошуку за країнами та перейдете до країн із високим ризиком, як-от росія, ви отримаєте кілька таких звернень:
Схоже, вищезазначені веб-сайти вже на радарі – перегляньте загальну кількість виявлень вірусів для доменів – шкідливий, спам і фішинг:
Додаткове дослідження IP-адреси 89.23.100.153 за допомогою Shodan ( попередження, зловмисне сповіщення! ) призводить до потрапляння на подібний фальшивий веб-сайт на тему Amazon, залучений до шахрайства «Роздача подарункових карток Amazon» – результати Censys див. тут .
Ви можете швидко повернутися до нього, тому що ми щойно знайшли інший фавікон, на якому можна зосередитися:
Перетягування цих потоків зазвичай призводить до виявлення кількох підключених веб-сайтів, які потім можна досліджувати за іншими параметрами, такими як часові рамки реєстрації, хостинг-провайдери, стеки технологій тощо.
Додаткове дослідження IP-адреси 89.23.100.153 за допомогою Shodan (попередження, зловмисне сповіщення!) виявляє ще один фальшивий веб-сайт, пов’язаний зі схемою шахрайства під назвою «Роздача подарункових карток Amazon» (результати дослідження через Censys див. тут).
Під час аналізу було знайдено ще один фавікон, на якому варто зосередитися:
Подальший аналіз подібних хешів часто дозволяє виявити мережу пов’язаних веб-сайтів. Такі ресурси можна досліджувати за додатковими параметрами, такими як:
часові рамки реєстрації доменів,
хостинг-провайдери,
технологічні стеки та інші характеристики.
Фавікони — цінний інструмент у OSINT-розслідуваннях, що допомагає виявляти шахрайські сайти та їхні зв’язки. Аналіз хешів фавіконів через Shodan, VirusTotal, Censys та інші інструменти дозволяє знаходити пов’язані домени, фішингові ресурси та мережі шахраїв. Приклад із дослідженням фальшивих сайтів Amazon UK показав ефективність цього методу для пошуку підозрілих IP та сайтів, залучених у шахрайські схеми.
