如今,短链接无处不在。所有这些bit.ly、ow.ly、t.co、t.me、tinyurl.com等早已成为在线环境中熟悉的一部分。实际上,对它们如此熟悉,以至于大多数用户点击它们时都不会多想。但是思考从来都不是坏事,考虑到这一点,我们将解释短链接是如何工作的,以及它们可能带来的隐私和安全威胁。
单击短链接时会发生什么?
当你点击一个短链接时,你几乎会直接跳转到预定的目标,即由创建链接的用户指定的地址。大多数人认为是这样的,但并非完全如此:实际的路线会经过URL缩短服务的一个快速转弯。
服务效率越高,所需时间就越快,到达终点站的过渡就越顺畅。当然,这种延迟只对一个人来说微不足道——我们人类的速度相当慢。但对于电子系统来说,它的时间足以完成各种活动,我们将在下面讨论。
为什么使用短链接?主要原因是空间:将长链接变短意味着在屏幕上占用更少的空间(考虑移动设备),并且不会消耗字符限制(考虑社交媒体帖子)。但不幸的是,事情并不仅仅如此。创建短链接的人可能追求自己的目标,不一定是出于对用户的关心。让我们来谈谈这些目标。
短链接和用户跟踪
您是否想过为什么许多互联网链接如此长且难看?这通常是因为链接对用于跟踪点击的各种参数进行了编码,即所谓的UTM 标签。
通常,部署这些标签是为了确定用户点击链接的位置,从而评估广告活动的有效性、博客页面上的位置等。当然,这并不是为了方便用户,而是为了数字营销。
在大多数情况下,这是一种无害的跟踪形式,不一定从链接点击者收集数据:营销人员通常只对流量来源感兴趣。但由于这种额外的“包装”看起来不太美观,而且常常使 URL 变得非常长,因此通常会使用缩短服务。
从隐私角度来看,更令人不快的是 URL 缩短器并不局限于将用户重定向到目标地址。他们还倾向于收集有关链接点击者的大量统计数据 - 因此您的数据最终不仅会通过嵌入式 UTM 标签到达短链接的创建者手中,还会到达 URL 缩短器的所有者手中。当然,这是互联网,每个人都会收集某种统计数据,但使用短链接会引入另一个保存您数据的中介。
伪装的恶意链接
除了侵犯您的隐私之外,短链接还可能威胁您的设备和数据的安全。正如我们不厌其烦地重复的那样:在点击链接之前一定要仔细检查它们。但对于短链接,就会出现一个问题:你永远不知道你会被带到哪里。
如果网络犯罪分子使用短链接,那么检查它们的建议就变得毫无意义:您只能在点击后找到链接指向的位置。到那时可能已经太晚了——如果攻击者利用浏览器中的零点击漏洞,那么一旦您登陆恶意网站,感染就会发生。
短链接和动态重定向
网络犯罪分子还可以根据需要使用链接缩短工具来更改目标地址。假设一些攻击者购买了包含数百万个电子邮件地址的数据库,并用它来发送带有某种链接的网络钓鱼消息。但问题是(对于攻击者而言):他们创建的网络钓鱼站点很快就被发现并被阻止。将其重新托管在不同的地址不是问题,但他们将不得不重新发送所有网络钓鱼邮件。
解决方案(对于攻击者来说)是使用“shimming”服务,这使得快速更改用户将访问的 URL 成为可能。这里“垫片”的作用可以由 URL 缩短器来扮演,包括最初出于可疑意图而创建的缩短器。
通过这种方法,网络钓鱼电子邮件中会添加指向网络钓鱼服务的链接,从而将受害者重定向到网络钓鱼者当前活动地址的网站。通常,使用多个重定向会使线索更加混乱。如果目标网络钓鱼站点被阻止,网络犯罪分子只需将其托管在新地址,更改填充程序中的链接,然后攻击就会继续。
中间人攻击
一些链接缩短工具(例如Sniply)为用户提供的不仅仅是较短的链接。它们允许跟踪实际目标站点上链接点击者的操作,这实际上是中间人攻击:流量通过中间服务节点,该节点监视用户和目标站点之间交换的所有数据。因此,URL 缩短程序可以拦截它想要的任何内容:输入的凭据、社交网络消息等等。
个人间谍活动
在大多数情况下,供大众使用的短链接被放置在社交网络帖子或网页上。但如果邮件是通过信使或电子邮件发送给您个人或您的个人或工作地址,则会产生额外的风险。使用此类链接,已经掌握有关您的一些信息的攻击者可以将您重定向到预先填写了您的个人数据的网络钓鱼网站。例如,访问具有有效用户名并要求输入密码的银行网站的副本,或者访问某些服务的“支付网关”,其中预先填写了您的银行卡号,要求您输入安全码。
此外,此类链接还可用于人肉搜索和其他类型的跟踪,特别是在 URL 缩短服务提供高级功能的情况下。例如,我们最近在 Twitch 上发布的有关保护隐私的文章详细介绍了对流媒体进行去匿名化的方法以及如何应对它们。
如何保持受保护
该怎么办?我们可以建议永远不要点击短链接,但在绝大多数情况下,URL缩短服务是用于合法目的的,而短链接已经变得如此普遍,以至于完全避免并不是一个真正的选择。尽管如此,我们建议你特别关注直接消息和电子邮件中发送给你的短链接。在点击之前,你可以通过将这些链接复制并粘贴到检查短链接的工具中,比如GetLinkInfo或UnshortenIt,来检查这些链接。
然而,还有一种更简单的方法:一个高质量的安全解决方案,采用综合方法同时关注安全和隐私。
本文翻译自:https://usa.kaspersky.com/blog/link-shorteners-privacy-security/28806/如若转载,请注明原文地址
