聊一聊短鏈接的危險
如今,短鏈接無處不在。所有這些bit.ly、ow.ly、t.co、t.me、tinyurl.com等早已成為在線環境中熟悉的一部分。實際上,對它們如此熟悉,以至于大多數用戶點擊它們時都不會多想。但是思考從來都不是壞事,考慮到這一點,我們將解釋短鏈接是如何工作的,以及它們可能帶來的隱私和安全威脅。
單擊短鏈接時會發生什么?
當你點擊一個短鏈接時,你幾乎會直接跳轉到預定的目標,即由創建鏈接的用戶指定的地址。大多數人認為是這樣的,但并非完全如此:實際的路線會經過URL縮短服務的一個快速轉彎。
服務效率越高,所需時間就越快,到達終點站的過渡就越順暢。當然,這種延遲只對一個人來說微不足道——我們人類的速度相當慢。但對于電子系統來說,它的時間足以完成各種活動,我們將在下面討論。
為什么使用短鏈接?主要原因是空間:將長鏈接變短意味著在屏幕上占用更少的空間(考慮移動設備),并且不會消耗字符限制(考慮社交媒體帖子)。但不幸的是,事情并不僅僅如此。創建短鏈接的人可能追求自己的目標,不一定是出于對用戶的關心。讓我們來談談這些目標。
短鏈接和用戶跟蹤
您是否想過為什么許多互聯網鏈接如此長且難看?這通常是因為鏈接對用于跟蹤點擊的各種參數進行了編碼,即所謂的UTM 標簽。
通常,部署這些標簽是為了確定用戶點擊鏈接的位置,從而評估廣告活動的有效性、博客頁面上的位置等。當然,這并不是為了方便用戶,而是為了數字營銷。
在大多數情況下,這是一種無害的跟蹤形式,不一定從鏈接點擊者收集數據:營銷人員通常只對流量來源感興趣。但由于這種額外的“包裝”看起來不太美觀,而且常常使 URL 變得非常長,因此通常會使用縮短服務。
從隱私角度來看,更令人不快的是 URL 縮短器并不局限于將用戶重定向到目標地址。他們還傾向于收集有關鏈接點擊者的大量統計數據 - 因此您的數據最終不僅會通過嵌入式 UTM 標簽到達短鏈接的創建者手中,還會到達 URL 縮短器的所有者手中。當然,這是互聯網,每個人都會收集某種統計數據,但使用短鏈接會引入另一個保存您數據的中介。
偽裝的惡意鏈接
除了侵犯您的隱私之外,短鏈接還可能威脅您的設備和數據的安全。正如我們不厭其煩地重復的那樣:在點擊鏈接之前一定要仔細檢查它們。但對于短鏈接,就會出現一個問題:你永遠不知道你會被帶到哪里。
如果網絡犯罪分子使用短鏈接,那么檢查它們的建議就變得毫無意義:您只能在點擊后找到鏈接指向的位置。到那時可能已經太晚了——如果攻擊者利用瀏覽器中的零點擊漏洞,那么一旦您登陸惡意網站,感染就會發生。
短鏈接和動態重定向
網絡犯罪分子還可以根據需要使用鏈接縮短工具來更改目標地址。假設一些攻擊者購買了包含數百萬個電子郵件地址的數據庫,并用它來發送帶有某種鏈接的網絡釣魚消息。但問題是(對于攻擊者而言):他們創建的網絡釣魚站點很快就被發現并被阻止。將其重新托管在不同的地址不是問題,但他們將不得不重新發送所有網絡釣魚郵件。
解決方案(對于攻擊者來說)是使用“shimming”服務,這使得快速更改用戶將訪問的 URL 成為可能。這里“墊片”的作用可以由 URL 縮短器來扮演,包括最初出于可疑意圖而創建的縮短器。
通過這種方法,網絡釣魚電子郵件中會添加指向網絡釣魚服務的鏈接,從而將受害者重定向到網絡釣魚者當前活動地址的網站。通常,使用多個重定向會使線索更加混亂。如果目標網絡釣魚站點被阻止,網絡犯罪分子只需將其托管在新地址,更改填充程序中的鏈接,然后攻擊就會繼續。
中間人攻擊
一些鏈接縮短工具(例如Sniply)為用戶提供的不僅僅是較短的鏈接。它們允許跟蹤實際目標站點上鏈接點擊者的操作,這實際上是中間人攻擊:流量通過中間服務節點,該節點監視用戶和目標站點之間交換的所有數據。因此,URL 縮短程序可以攔截它想要的任何內容:輸入的憑據、社交網絡消息等等。
個人間諜活動
在大多數情況下,供大眾使用的短鏈接被放置在社交網絡帖子或網頁上。但如果郵件是通過信使或電子郵件發送給您個人或您的個人或工作地址,則會產生額外的風險。使用此類鏈接,已經掌握有關您的一些信息的攻擊者可以將您重定向到預先填寫了您的個人數據的網絡釣魚網站。例如,訪問具有有效用戶名并要求輸入密碼的銀行網站的副本,或者訪問某些服務的“支付網關”,其中預先填寫了您的銀行卡號,要求您輸入安全碼。
此外,此類鏈接還可用于人肉搜索和其他類型的跟蹤,特別是在 URL 縮短服務提供高級功能的情況下。例如,我們最近在 Twitch 上發布的有關保護隱私的文章詳細介紹了對流媒體進行去匿名化的方法以及如何應對它們。
如何保持受保護
該怎么辦?我們可以建議永遠不要點擊短鏈接,但在絕大多數情況下,URL縮短服務是用于合法目的的,而短鏈接已經變得如此普遍,以至于完全避免并不是一個真正的選擇。盡管如此,我們建議你特別關注直接消息和電子郵件中發送給你的短鏈接。在點擊之前,你可以通過將這些鏈接復制并粘貼到檢查短鏈接的工具中,比如GetLinkInfo或UnshortenIt,來檢查這些鏈接。
然而,還有一種更簡單的方法:一個高質量的安全解決方案,采用綜合方法同時關注安全和隱私。
本文翻譯自:https://usa.kaspersky.com/blog/link-shorteners-privacy-security/28806/如若轉載,請注明原文地址
