Как злоумышленники используют короткие URL-адреса
Наиболее эффективный способ раздачи вредоносных программ связан со ссылками. Блуждая по интернету мы повсюду видим ссылки, как на веб-сайтах, так и в новостных лентах в социальных сетях. При помощи ссылок распространяются самые разные файлы, и злоумышленники пользуются нашей готовностью нажать на любую ссылку, чтобы распространить вредоносные сайты и файлы, на которые мы перейдем, нажав на очередную ссылку. Но не все так просто: ссылку не получится распространить, если из URL становится понятно, что она может привести к загрузке потенциально вредоносного файла. Говорите, что там картинка или веб-сайт, сколько хотите, но если всем видно, что ссылка ведет к .exe-файлу, на нее никто не нажмет.
Секрет в том, чтобы такие URL остались незамеченными. Взломщики прибегают к самым разным уловкам: размещают ссылку на перегруженной информацией странице, надеясь наткнуться на тех, кто нажимают на ссылки без разбора, взламывают учетные записи и отправляют ссылки друзьям, полагая что такому источнику автоматически проявят доверие, они даже подделывают URL так, чтобы казалось, что ссылка ведет к другой странице. Короткие ссылки упрощают взломщику работу, поскольку они позволяют скрыть, куда на самом деле производится переход.
Чем опасны короткие ссылки?
Давайте рассмотрим пример и выберем для этого невинную жертву – Google.
Вот URL веб-сайта:
www.google.com
Вот как выглядит прямая ссылка на логотип Google:
www.google.com/images/branding/googlelogo/1x/googlelogo_color_272x92dp.png
В чем разница очевидно. В первом случае мы видим ссылку на сайт, во втором — на изображение. Прочитав URL, вы сразу поймете, куда попадете и что увидите при нажатии на ссылку. А теперь давайте попробуем перейти по ссылкам через Bit.ly и сравним результаты. Очевидна ли разница в таком случае?
Давайте посмотрим:
bit.ly/1dNVPAW — ссылка на www.google.com
bit.ly/1JcI49O — ссылка на www.google.com/images/branding/googlelogo/1x/googlelogo_color_272x92dp.png
Теперь разница не так очевидна, не правда ли? Все, что меняется — это случайный набор букв и цифр после домена “bit.ly”. Расширения файла уже не видно и нет даже намеков на то, куда приведет ссылка. По этим ссылкам невозможно понять, какая ведет на сайт Google, а какая — на его логотип. А если бы мы заранее не знали, что ссылки bit.ly ведут на сайт Google и на изображение его логотипа, то мы вообще не имели ни малейшего представления, что это за ссылки.
Именно этим могут воспользоваться злоумышленники для распространения вредоносного сайта или кода. Они могут дать короткую ссылку, заверив, что она ведет на смешной клип или на какие-нибудь удивительные новости, и никто не поймет по URL, что на самом деле ссылка ведет к вредоносному файлу или сайту.
Как их распознать
Итак, в сети можно наткнуться на короткие URL-адреса, и вы не знаете, как проверить, что по ним вы перейдете на законопослушный сайт. Есть ли какой-нибудь способ проверить ссылку, не переходя по ней, и удостовериться в том, что злого умысла тут нет?
К счастью существует несколько веб-сервисов, созданных для борьбы с такими видами атак. Ниже приведено несколько примеров.
CheckShortURL — это отличный инструмент, который охватывает большинство сервисов сокращения URL. Введите короткий адрес, и CheckShortURL проведет анализ и сообщит вам, куда ведет ссылка. Сервис позволяет сделать предварительный просмотр сайта, чтобы убедиться в его благонадежности. В случае, если у вас возниклнут сомнения по поводу безопасности сайта, то на CheckShortURL можно автоматически провести поиск сайта в различный сервисах по оценке безопасности, таких как Web of Trust.
GetLinkInfo подходит для тех случаев, когда вы хотите узнать, что именно происходит в процессе переадресации. При нажатии на короткую ссылку пользователи перенаправляются по заранее определенному адресу. Проверка GetLinkInfo позволяет проследить, через какие этапы проходит переадресация с тем, чтобы вы были уверены, что попадете на безопасный сайт при нажатии на ссылку. Для оценки безопасности GetLinkInfo также использует технологии безопасного просмотра Google.
Кроме того, на некоторых сервисах сокращения URL понимают, что есть смысл в предоставлении возможности пользователям заглянуть «за кулисы». Некоторые из них предлагают метод проверки сгенерированных на их сайте ссылок, чтобы пользователям не приходилось идти на риск. Например, а вы знали, что если добавить “+” к концу ссылки bitly то вы перейдете на страницу предварительного просмотра перед тем, как перейдете к самому файлу или сайту? Попробуйте сами с одной из ссылок, приведенных выше, например: http://bit.ly/1dNVPAW+.
Всегда по адресу
Короткие URL используются для раздачи вредоносных программ, а это означает, что следует проявлять бдительность при переходе по незнакомым ссылкам, предоставленным неизвестными людьми. Теперь вы знаете, как короткие ссылки используются злоумышленниками, а также как проверить ссылку на безопасность.
Вас когда-нибудь заставала врасплох короткая ссылка? Или вы ко всем коротким адресам относитесь с подозрением? Расскажите нам в комментариях.
На HOSTING.cafe всегда поможет подобрать виртуальные и выделенные серверы, хостинг и другие услуги.
Комментарии (15)
NaHCO3
16.03.2017 13:53+1Ответ очевидный — иметь белый список сервисов, ссылки на которые раскрываются плагином при открытии страницы. Всем остальным — запретить перенаправление, благо что таких плагинов навалом.
Кстати, не только зловреды и фишеры пользуются сокращением ссылок. Ещё нечистые на руку поисковики (почти все) используют короткие ссылки для слежки за переходами пользователей. Тут тоже пригодится автоскликивание всех ссылок.
da411d
16.03.2017 19:58+1Почему не упомянули про возможность перебора коротких ссылок на приватные файлы и т.п?
UksusoFF
16.03.2017 20:16+3Обычные пользователи не смотрят jpg или exe. Так что разницы особо никакой.
GoldGoblin
16.03.2017 23:56+1какая то не правильная статья.
я не вижу разницы сокращенная ссылка или нет. Если даже начал качаться файл он не запустится без вашего разрешения. А началась скачка по адресу aaa.ru/1.exe или aaa.ru/1 или bit.ly/afdsagf разницы в безопасности я не вижу…
devalone
21.03.2017 16:40Бессмысленно-очевидная статья. И так понятно, что по сокращённой ссылке может лежать что угодно. Это всё равно что говорить: не кладите в рот таблетки, которые вам может дать незнакомый чувак, он может сказать, что это аспирин, а на самом деле это яд!(даже если он похож на морфеуса из матрицы)
И пример с .exe вообще не показательный, во первых скачать .exe можно и по «ссылке на jpg», а во вторых его ещё запустить надо. И ни слова про XSS атаки(не короткая ссылка будет выглядеть подозрительнее).
Shakhmin
21.03.2017 16:40Короткие ссылки — это инструмент, как им пользоваться — дело и ответственность (если найдут) каждого.
Аналогично ярлыкам на рабочем столе.
И аналогично серверам и сервисам на hosting.cafe — их тоже можно использовать с разными целями, но ведь их (серверы и сервисы) изначально не принято считать опасными.
А если пойти дальше, то злоумышленнику никто не мешает по одной и той же ссылке отдавать разный контент в зависимости от ip, версии ОС, времени года и фазе луны
правильно было бы назвать статью, как «малоизвестные инструменты для работы с сервисами коротких ссылок»
Lsh
А когда на конце написано .php, то скачивается php?
Кто мешает по адресу с .jpg отдавать exe?
GreenBee
Если вы скачаете программу с расширением .jpg, то она вряд ли запустится.
andreymal
HTTP-заголовок Content-Disposition позволяет переопределить имя файла, так что всё запустится ;)
Evengard
Ну вообще-то через content-disposition при скачке можно вернуть обратно exe.
fdhadzh
Можно по адресу с постфиксом .jpg или .png отдать файл с расширением .exe через content-disposition.