Как работают сокращатели URL-адресов, как их можно использовать, а также угрозы конфиденциальности и безопасности, которые они представляют.
Короткие ссылки в наши дни повсюду. Все эти bit.ly, ow.ly, t.co, t.me, tinyurl.com и тому подобное уже давно стали привычной частью онлайн-ландшафта. Настолько знакомо, что большинство пользователей нажимают на них, не задумываясь. Но думать никогда не бывает плохо. Имея это в виду, мы объясним ниже, как работают короткие ссылки и какие угрозы конфиденциальности и безопасности они могут представлять.
Что происходит, когда вы нажимаете на короткую ссылку?
Когда вы нажимаете на короткую ссылку, вы почти сразу попадаете в предполагаемый пункт назначения, который является адресом, указанным пользователем, создавшим ссылку. Почти, но не совсем: фактический маршрут быстро объезжает через службу сокращения URL-адресов.
Чем эффективнее обслуживание, тем быстрее это происходит и тем плавнее переход к конечной остановке. Конечно, задержка кажется незначительной только человеку — мы, люди, довольно медлительны. Но для электронной системы этого более чем достаточно, чтобы приступить ко всем видам деятельности, о которых мы поговорим ниже.
Почему короткие ссылки? Основная причина заключается в пространстве: если сделать длинную ссылку короче, это означает, что она занимает меньше места на экране (например, мобильные устройства) и не съедает лимит символов (например, сообщения в социальных сетях). Увы, это еще не все. Создатели коротких ссылок могут преследовать свои собственные цели, не обязательно движимые заботой о пользователях. О них и поговорим.
Короткие ссылки и отслеживание пользователей
Вы когда-нибудь задумывались, почему многие интернет-ссылки такие длинные и неприглядные? Обычно это связано с тем, что ссылки кодируют всевозможные параметры для отслеживания переходов по ссылкам, так называемые UTM-метки.
Обычно эти теги используются для того, чтобы определить, где пользователь перешел по ссылке, и таким образом оценить эффективность рекламных кампаний, размещения на страницах блогеров и так далее. Конечно, это делается не во имя удобства пользователей, а для цифрового маркетинга.
В большинстве случаев это довольно безобидная форма отслеживания, которая не обязательно собирает данные с кликеров ссылок: часто маркетологов интересует просто источник трафика. Но поскольку эта дополнительная «упаковка» выглядит не очень эстетично и часто делает URL-адрес безумно длинным, в игру часто вступают сервисы сокращения.
Что еще более неприятно с точки зрения конфиденциальности, так это то, что сокращатели URL-адресов не ограничиваются перенаправлением пользователей на адрес назначения. Они также, как правило, собирают множество статистических данных о кликерах ссылок, поэтому ваши данные попадают в руки не только создателя короткой ссылки через встроенные UTM-метки, но и владельцев сокращателя URL-адресов. Конечно, это интернет, и все собирают какую-то статистику, но использование короткой ссылки вводит еще одного посредника, который хранит данные о вас.
Замаскированные вредоносные ссылки
Помимо нарушения вашей конфиденциальности, короткие ссылки могут угрожать безопасности ваших устройств и данных. Как мы не устаем повторять: всегда внимательно проверяйте ссылки, прежде чем нажимать на них. Но с короткими ссылками возникает проблема: никогда не знаешь наверняка, куда именно тебя повезут.
Если злоумышленники используют короткие ссылки, советы по их проверке становятся бессмысленными: узнать, куда указывает ссылка, можно только после нажатия. И к тому времени может быть уже слишком поздно — если злоумышленники воспользуются уязвимостью нулевого клика в браузере, заражение может произойти, как только вы попадете на вредоносный сайт.
Короткие ссылки и динамические редиректы
Киберпреступники также могут использовать инструменты сокращения ссылок для изменения целевого адреса по мере необходимости. Предположим, что какой-то злоумышленник купил базу данных из миллионов адресов электронной почты и использовал ее для рассылки фишинговых сообщений с какой-то ссылкой. Но вот проблема (для злоумышленников): созданный ими фишинговый сайт был быстро обнаружен и заблокирован. Повторное размещение его по другому адресу не является проблемой, но тогда им придется повторно отправлять все фишинговые письма.
Решением (опять же, для злоумышленников) является использование «мерцающего» сервиса, который дает возможность быстро изменить URL-адрес, который посетят пользователи. И роль «прокладок» здесь могут сыграть сокращатели URL-адресов, в том числе изначально созданные с сомнительными намерениями.
При таком подходе в фишинговое письмо добавляется ссылка на сервис шимминга, которая перенаправляет жертв на сайт фишеров по их активному в данный момент адресу. Часто множественные перенаправления используются, чтобы еще больше запутать след. А если целевой фишинговый сайт блокируется, злоумышленники просто размещают его по новому адресу, меняют ссылку в оболочке, и атака продолжается.
Атаки «человек посередине»
Некоторые инструменты сокращения ссылок, такие как Sniply, предлагают пользователям больше, чем просто более короткие ссылки. Они позволяют отслеживать действия кликеров по ссылкам на фактическом целевом сайте, что фактически является атакой «человек посередине»: трафик проходит через промежуточный сервисный узел, который отслеживает все данные, которыми обмениваются пользователь и целевой сайт. Таким образом, сокращатель URL-адресов может перехватить все, что захочет: введенные учетные данные, сообщения социальных сетей и так далее.
Личный шпионаж
В большинстве случаев короткие ссылки, предназначенные для массового использования, размещаются в постах в социальных сетях или на веб-страницах. Но дополнительные риски возникают, если он был отправлен лично вам — в мессенджере или на электронную почту на личный или рабочий адрес. Используя такие ссылки, злоумышленник, у которого уже есть какая-то информация о вас, может перенаправить вас на фишинговый сайт, где предварительно заполнены ваши личные данные. Например, на копию банковского сайта с действительным логином и просьбой ввести пароль, или на «платежный шлюз» какого-нибудь сервиса с предварительно заполненным номером вашей банковской карты, попросив ввести код безопасности.
Более того, такие ссылки можно использовать для доксинга и других видов отслеживания, особенно если сервис сокращения URL-адресов предлагает расширенный функционал. Например, в нашем недавнем посте о защите конфиденциальности в Twitch подробно рассматривались способы деанонимизации стримеров и способы противодействия им.
Как оставаться защищенным
Что с этим делать? Мы могли бы посоветовать никогда не нажимать на короткие ссылки, но в подавляющем большинстве случаев сокращатели URL-адресов используются в законных целях, а короткие ссылки стали настолько распространенными, что полное избегание на самом деле не вариант. Тем не менее, мы рекомендуем вам обратить особое внимание на короткие ссылки, отправленные вам в личных сообщениях и электронных письмах. Вы можете проверить такие ссылки перед нажатием, скопировав и вставив их в инструмент для проверки коротких ссылок, такой как GetLinkInfo или UnshortenIt.
Однако есть и более простой метод: качественное защитное решение с комплексным подходом, которое одновременно заботится о безопасности и конфиденциальности. Например, есть компонент Приватный просмотр, который блокирует большинство известных онлайн-трекеров и, таким образом, предотвращает мониторинг ваших действий в Интернете.
Наши продукты также обеспечивают защиту от онлайн-мошенничества и фишинга, поэтому будьте уверены, что Антивирус своевременно предупредит вас перед переходом на опасный сайт, даже если ссылка была сокращена. И, конечно же, антивирус защитит от любых попыток заражения ваших устройств, в том числе эксплуатирующих пока неизвестные уязвимости.