Слежка по ссылкам и IP‑трекерам Grabify, IP Logger и аналогичные сервисы: сравнение возможностей и опасностей

Слежка по ссылкам и IP‑трекерам Grabify, IP Logger и аналогичные сервисы: сравнение возможностей и опасностей

Иногда достаточно одного клика по «невинной» ссылке, чтобы отправить незнакомцу половину своей технической визитки: IP-адрес, город по базе геолокации, провайдера, модель устройства, язык системы, часовой пояс, а иногда — даже точные координаты (если вы сами дали разрешение). Именно этим и занимаются IP-трекеры: Grabify , IP Logger и десятки их клонов. В статье разберёмся, как они работают, чего действительно стоит бояться, где маркетинговая магия преувеличивает возможности и как выстроить практическую защиту.

Что такое IP-трекер и как он устроен

По сути, это прокладка между «приманкой» (любой URL, картинка или QR-код) и реальным ресурсом. Трекер отдаёт редирект или пиксель, фиксирует факты переходов и собирает максимум метаданных. У «продвинутых» есть режимы «смарт-логгера», которые через JavaScript и API браузера считывают дополнительные параметры: заряд батареи, ориентацию экрана, блокировщик рекламы, размеры окна, иногда — локальный IP с учётом ограничений WebRTC, и т. п. (см. список на сайте Grabify — «Smart Logger»).

  • Ссылка-логгер: короткий URL → мгновенный 302/307 редирект на конечный адрес + логирование IP/UA/реферера и др.
  • Пиксель-логгер: невидимое изображение 1×1 px, которое подгружается в письме/на странице (см. «Invisible image» у Grabify ).
  • Геологгер: запрашивает доступ к геолокации в браузере/на телефоне и при согласии отдаёт точные координаты (см. «Location Tracker» у IP Loggerтребуется согласие пользователя).
  • Уведомления/боты: алерты в Telegram/почту при каждом клике (у IP Logger есть официальный Telegram-бот и связка аккаунта).
  • Маскировка доменов: генерация ссылок на «нейтральных» доменах, чтобы жертва не заметила слово grabify (подтверждается собственным блогом сервиса: « How to mask your Grabify link »).
Важно: современные браузеры прикрыли старые утечки локального IP через WebRTC (mDNS-маскирование кандидатов). Поэтому «узнать ваш домашний адрес из воздуха» — не из этой оперы. Но внешний IP/прокси/ВПН и прочие метаданные всё ещё прекрасно собираются.

Что именно «видит» владелец трекера — а что нет

Рекламные обещания часто звучат пугающе, поэтому разложим по полочкам.

  • Доступно обычно: внешний IP, страна/город по базе GeoIP, провайдер, тип сети (мобилка/широкополоска), ОС/браузер/устройство, язык, часовой пояс, referrer/UTM, иногда — факт VPN/прокси/Tor/VM.
  • Доступно с согласия: точные координаты с GPS/AGPS (браузер явным диалогом просит разрешение; пример — IP Logger Location Tracker ).
  • Недоступно по щелчку: ваше реальное имя/адрес квартиры/паспорт. IP-геолокация статистически грубая: даже топовые базы уровня MaxMind прямо пишут, что «никогда не точна для идентификации конкретного домохозяйства/улицы» и меняется по типу сети и практике ISP (см. справку MaxMind: Geolocation Accuracy ).
Миф: «узнал IP — узнал адрес». Реальность: часто это центр провайдера или область радиусом в десятки километров. Исключение — если человек сам раскрыл персональные данные в другом месте и их связали с IP.

Мессенджеры и превью ссылок: уходит ли ваш IP при автоподгрузке?

Когда вы получаете ссылку в чат, приложение показывает мини-карту страницы (картинку/заголовок). Важно понимать: в большинстве современных приложений превью генерируется не вашим IP, а сервером платформы или на устройстве отправителя. Это как посмотреть витрину, не заходя в магазин.

  • WhatsApp: можно вовсе отключить превью (Settings → Privacy → Advanced → Disable link previews). В самой справке указано, что это опция для защиты IP-адреса самых «параноидальных» пользователей: официальный FAQ . Отдельно для звонков можно включить «Protect IP address in calls», чтобы трафик шёл через серверы WhatsApp ( подробности ).
  • Telegram: превью в мобильных клиентах формируется на стороне сервера (добавляет удобства, но URL известен Telegram). Прямой утечки вашего IP при появлении превью нет; при клике по ссылке IP, конечно, уйдёт сайту. См. разборы: исследование Mysk « Link Previews: Privacy Risks » и технические разъяснения сообщества.
  • Slack/Discord и др.: превью (unfurl) собирают их серверы/боты, сайт видит их User-Agent (например, Discordbot), а не ваш. Документация: Slack: Link Unfurling .

Вывод: превью само по себе редко раскрывает ваш IP — опасность начинается после клика по ссылке (или автозагрузки внешних картинок в почте — об этом ниже).

Право и границы допустимого: почему IP — это персональные данные

В Европе IP-адрес относится к персональным данным (см. решение Суда ЕС по делу Breyer, C-582/14). Поэтому сбор и обработка требуют законного основания, прозрачности и соблюдения прав субъектов данных. Для ориентира:

  • Кейс CJEU «Breyer»: динамический IP может быть персональными данными для владельца сайта, даже если он сам не может напрямую идентифицировать человека — потому что идентификация возможна через третьих лиц (ISP). Обзор: Covington & Burling .
  • Разъясняющие материалы: GDPRhub: Article 4 , обзор Европейской комиссии « Data protection explained ».
  • Практика платформ тоже меняется: например, у Telegram обновлялась политика передачи IP и телефонов по судебным запросам в случаях уголовных расследований (см. новости и официальную политику конфиденциальности Telegram ).
Что это значит на практике? «Просто ради любопытства» собирать чьи-то IP и координаты — плохая идея. Если вы оператор данных (бизнес/СМИ/блог), вам нужны основания, минимизация, срок хранения, и способ для «удалить мои данные» (оба сервиса, кстати, имеют форму Remove My Data).

Сравнение популярных сервисов IP-логирования

Ниже — сравнительная таблица по заявленным функциям на официальных страницах (без оценки этики применения). Она поможет понять, что именно умеют такие инструменты и на что они делают упор.

Сервис Типы логирования Доп. метаданные Маскировка доменов Боты/API/уведомления Сбор согласия Удаление данных/абьюз Полезные ссылки
Grabify Ссылка-логгер, невидимый пиксель «Smart Logger»: батарея*, ориентация*, ad-block*, тип соединения*, языки, часовой пояс, VPN/Tor/VM-детект и др. Да (выбор альтернативных доменов из списка) Уведомления; стандартный аккаунт/панель Отдельно не подчёркнуто для базовых ссылок; зависит от сценария Есть: Remove My Data, Abuse Сайт · Маскировка · Пиксель
IP Logger Ссылка-логгер, пиксель, геологгер (GPS по согласию) Расширенная аналитика кликов (IP, город, провайдер и т. п.) Да (настройка домена/пути для ссылки) Оповещения в Telegram/почту, официальный бот Есть опция «сбор согласий» для приведения к требованиям GDPR Есть формы и инструменты управления Сайт · Location Tracker

* — доступно в режиме «Smart Logger» и если устройство/браузер это поддерживают.

Как распознать и проверить подозрительную ссылку

«Сигналы тревоги» — это не только домен grabify.link. У сервисов есть пул альтернативных адресов, которые маскируются под «обычные» сайты. Если сомневаетесь — проверьте цель короткого URL через сторонний сервис-расширитель (они обращаются к сокращателю со своих серверов, а не с вашего IP):

  • CheckShortURL — показывает конечный адрес и даёт скриншот.
  • Unshorten.me · Unshorten.it — альтернативные варианты.
  • У некоторых шортенеров есть «режим предпросмотра» (например, у Bitly — добавьте + в конце короткой ссылки; у TinyURL — префикс preview.), подробности см. в подсказках университетов кибербезопасности и справках сервисов.
Не делайте так: не «пробивайте» ссылку напрямую через curl/wget без прокси — это такой же сетевой запрос, раскроете свой IP. Используйте внешние расширители или открывайте в изолированной среде с ВПН/прокси.

Почта и трекинг-пиксели: автозагрузка изображений = сигнал «я открыл письмо»

В письмах трекинг-пиксель чаще всего — обычная картинка по внешнему URL. При её автозагрузке отправитель фиксирует «открытие», а иногда и IP/клиент. К счастью, многие сервисы прячут ваш IP за своим прокси (например, Gmail подставляет GoogleImageProxy и кеширует изображения), а клиенты позволяют отключить автозагрузку.

  • Gmail давно проксирует внешние изображения и тем самым не отдаёт отправителю ваш IP; при желании можно дополнительно запретить автозагрузку (подробности в справке и независимых разборках).
  • В классических десктоп-клиентах (Outlook/Thunderbird/Apple Mail) ищите настройку «не загружать внешние изображения автоматически».
Хорошая привычка: если письмо подозрительное — не открывайте ссылки из него, а зайдите на сайт вручную (вбивая адрес) или воспользуйтесь проверкой URL через VirusTotal/URLVoid/расширители.

Реальные риски и типичные сценарии злоупотреблений

IP-логгеры часто используются в безобидном маркетинге и техподдержке, но в дикой среде встречаются и неприятные кейсы:

  • Доксинг и запугивание: «вижу твой город/провайдера, значит, знаю, где ты живёшь» — эмоциональный, но обычно пустой шантаж. Тем не менее, не игнорируйте угрозы — фиксируйте факты и при необходимости обращайтесь в правоохранительные органы.
  • Подмена доверия: отправка маскированной ссылки от имени «знакомого» (клонированный ник/аватар), чтобы «проверить фото/документ» — классика.
  • Фишинг/вредоносные редиректы: трекер выступает первой ступенью, дальше — на фейковую форму входа или загрузчик.
  • Атаки на корпоративную инфраструктуру: сбор внешних IP сотрудников, рабочих прокси, версии ПО — для прицельных фишинговых кампаний.

Практическая защита: чек-лист для людей и компаний

Для повседневных пользователей

  1. Включите ВПН на уровне устройства/браузера — это один из самых простых способов «не светить» домашний IP.
  2. Отключите автопредпросмотр ссылок в мессенджере, если вы в группе риска. В WhatsApp: Settings → Privacy → Advanced → Disable link previews ( подробности ).
  3. Проверяйте короткие URL через внешние сервисы ( CheckShortURL , Unshorten.me , Unshorten.it ).
  4. Почта: запретите автозагрузку внешних изображений, используйте режим «просмотр в тексте» для подозрительных рассылок.
  5. Браузер: установите uBlock Origin/Privacy Badger, ограничьте JavaScript на непроверенных сайтах (или используйте отдельный «жёсткий» профиль).
  6. Никогда не открывайте «подарки/видео» от незнакомцев, даже если домен выглядит «обычно». Маскировка — штатная функция трекеров.

Для редакций, НКО, активистов и компаний

  1. DNS-фильтрация/блоклисты: заведите централизованный блок на известные домены IP-логгеров. В открытых репозиториях встречаются актуальные списки маскирующих доменов (пример: списки для Grabify на GitHub/гистах). Обновляйте их регулярно.
  2. Политика предпросмотра: в корпоративных мессенджерах (Slack/Teams) ограничьте автоматическое «unfurling» внешних ссылок или хотя бы логируйте такие события.
  3. Изоляция кликов: откройте подозрительные URL только в одноразовой виртуальной среде с выходом через корпоративный прокси/ВПН.
  4. Почта: через MTA проксируйте/переписывайте внешние ссылки, отключайте автокартинки на уровне клиента по умолчанию.
  5. Обучение: кейс-тренировки по распознаванию маскирующих доменов, отработке сценариев «получили ссылку — что дальше».

Быстрый «детектор трекеров» глазами читателя

  • Ссылка выглядит короткой/подозрительной, прислали «срочно посмотри» — не кликайте, сначала проверьте через расширитель.
  • В мессенджере превью не грузится или странное — лучше проверить конечный URL вручную.
  • Письмо просит «подтвердить аккаунт» и ведёт на домен, не похожий на официальный — закрыть, проверить адрес сайта самостоятельно.
  • Вам хвастаются «я знаю, где ты живёшь, у меня твой IP» — сохраняйте спокойствие: чаще всего это город/регион. Сохраняйте доказательства, не поддавайтесь на провокации.

Итоги

IP-трекеры — это не «магические шпионские спутники», а вполне приземлённые инструменты веб-аналитики и социальной инженерии. Они могут собрать много технических деталей и при вашем согласии — точные координаты. Но «по IP вычислить подъезд» в 2025-м так же нереалистично, как и десять лет назад. Главная проблема не в технологиях, а в человеческом факторе: доверчивые клики, привычка открывать всё подряд и отсутствие гигиены приватности. Включите ВПН, отключите автозагрузку картинок и превью в рисковых сценариях, проверяйте короткие ссылки — и количество «утечек по клику» уедет в статистическую погрешность.

Если вы столкнулись с угрозами или шантажом, сохраняйте всю переписку и ссылки, сделайте скриншоты панелей трекеров (если их вам показывают), и обращайтесь к юристам/в правоохранительные органы. Для бизнеса — стройте политику обработки персональных данных и ответов на запросы субъектов (удаление/раскрытие).


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Роботы-матки: человечность снята с производства

От капсул вместо утробы до детей с премиум-опциями: как мы превратили рождение в бизнес-план и сервис по подписке.

Читайте статью о будущем, где ребёнка заказывают как айфон.

article-title

Юрий Кочетов

Здесь я делюсь своими не самыми полезными, но крайне забавными мыслями о том, как устроен этот мир. Если вы устали от скучных советов и правильных решений, то вам точно сюда.