如今，短鏈接無處不在。所有這些bit.ly、ow.ly、t.co、t.me、tinyurl.com等早已成為在線環(huán)境中熟悉的一部分。實(shí)際上，對它們?nèi)绱耸煜?，以至于大多?shù)用戶點(diǎn)擊它們時(shí)都不會(huì)多想。但是思考從來都不是壞事，考慮到這一點(diǎn)，我們將解釋短鏈接是如何工作的，以及它們可能帶來的隱私和安全威脅。

單擊短鏈接時(shí)會(huì)發(fā)生什么？

當(dāng)你點(diǎn)擊一個(gè)短鏈接時(shí)，你幾乎會(huì)直接跳轉(zhuǎn)到預(yù)定的目標(biāo)，即由創(chuàng)建鏈接的用戶指定的地址。大多數(shù)人認(rèn)為是這樣的，但并非完全如此：實(shí)際的路線會(huì)經(jīng)過URL縮短服務(wù)的一個(gè)快速轉(zhuǎn)彎。

服務(wù)效率越高，所需時(shí)間就越快，到達(dá)終點(diǎn)站的過渡就越順暢。當(dāng)然，這種延遲只對一個(gè)人來說微不足道——我們?nèi)祟惖乃俣认喈?dāng)慢。但對于電子系統(tǒng)來說，它的時(shí)間足以完成各種活動(dòng)，我們將在下面討論。

為什么使用短鏈接？主要原因是空間：將長鏈接變短意味著在屏幕上占用更少的空間（考慮移動(dòng)設(shè)備），并且不會(huì)消耗字符限制（考慮社交媒體帖子）。但不幸的是，事情并不僅僅如此。創(chuàng)建短鏈接的人可能追求自己的目標(biāo)，不一定是出于對用戶的關(guān)心。讓我們來談?wù)勥@些目標(biāo)。

短鏈接和用戶跟蹤

您是否想過為什么許多互聯(lián)網(wǎng)鏈接如此長且難看？這通常是因?yàn)殒溄訉τ糜诟欬c(diǎn)擊的各種參數(shù)進(jìn)行了編碼，即所謂的UTM 標(biāo)簽。

通常，部署這些標(biāo)簽是為了確定用戶點(diǎn)擊鏈接的位置，從而評估廣告活動(dòng)的有效性、博客頁面上的位置等。當(dāng)然，這并不是為了方便用戶，而是為了數(shù)字營銷。

在大多數(shù)情況下，這是一種無害的跟蹤形式，不一定從鏈接點(diǎn)擊者收集數(shù)據(jù)：營銷人員通常只對流量來源感興趣。但由于這種額外的“包裝”看起來不太美觀，而且常常使 URL 變得非常長，因此通常會(huì)使用縮短服務(wù)。

從隱私角度來看，更令人不快的是 URL 縮短器并不局限于將用戶重定向到目標(biāo)地址。他們還傾向于收集有關(guān)鏈接點(diǎn)擊者的大量統(tǒng)計(jì)數(shù)據(jù) - 因此您的數(shù)據(jù)最終不僅會(huì)通過嵌入式 UTM 標(biāo)簽到達(dá)短鏈接的創(chuàng)建者手中，還會(huì)到達(dá) URL 縮短器的所有者手中。當(dāng)然，這是互聯(lián)網(wǎng)，每個(gè)人都會(huì)收集某種統(tǒng)計(jì)數(shù)據(jù)，但使用短鏈接會(huì)引入另一個(gè)保存您數(shù)據(jù)的中介。

偽裝的惡意鏈接

除了侵犯您的隱私之外，短鏈接還可能威脅您的設(shè)備和數(shù)據(jù)的安全。正如我們不厭其煩地重復(fù)的那樣：在點(diǎn)擊鏈接之前一定要仔細(xì)檢查它們。但對于短鏈接，就會(huì)出現(xiàn)一個(gè)問題：你永遠(yuǎn)不知道你會(huì)被帶到哪里。

如果網(wǎng)絡(luò)犯罪分子使用短鏈接，那么檢查它們的建議就變得毫無意義：您只能在點(diǎn)擊后找到鏈接指向的位置。到那時(shí)可能已經(jīng)太晚了——如果攻擊者利用瀏覽器中的零點(diǎn)擊漏洞，那么一旦您登陸惡意網(wǎng)站，感染就會(huì)發(fā)生。

短鏈接和動(dòng)態(tài)重定向

網(wǎng)絡(luò)犯罪分子還可以根據(jù)需要使用鏈接縮短工具來更改目標(biāo)地址。假設(shè)一些攻擊者購買了包含數(shù)百萬個(gè)電子郵件地址的數(shù)據(jù)庫，并用它來發(fā)送帶有某種鏈接的網(wǎng)絡(luò)釣魚消息。但問題是（對于攻擊者而言）：他們創(chuàng)建的網(wǎng)絡(luò)釣魚站點(diǎn)很快就被發(fā)現(xiàn)并被阻止。將其重新托管在不同的地址不是問題，但他們將不得不重新發(fā)送所有網(wǎng)絡(luò)釣魚郵件。

解決方案（對于攻擊者來說）是使用“shimming”服務(wù)，這使得快速更改用戶將訪問的 URL 成為可能。這里“墊片”的作用可以由 URL 縮短器來扮演，包括最初出于可疑意圖而創(chuàng)建的縮短器。

通過這種方法，網(wǎng)絡(luò)釣魚電子郵件中會(huì)添加指向網(wǎng)絡(luò)釣魚服務(wù)的鏈接，從而將受害者重定向到網(wǎng)絡(luò)釣魚者當(dāng)前活動(dòng)地址的網(wǎng)站。通常，使用多個(gè)重定向會(huì)使線索更加混亂。如果目標(biāo)網(wǎng)絡(luò)釣魚站點(diǎn)被阻止，網(wǎng)絡(luò)犯罪分子只需將其托管在新地址，更改填充程序中的鏈接，然后攻擊就會(huì)繼續(xù)。

中間人攻擊

一些鏈接縮短工具（例如Sniply）為用戶提供的不僅僅是較短的鏈接。它們允許跟蹤實(shí)際目標(biāo)站點(diǎn)上鏈接點(diǎn)擊者的操作，這實(shí)際上是中間人攻擊：流量通過中間服務(wù)節(jié)點(diǎn)，該節(jié)點(diǎn)監(jiān)視用戶和目標(biāo)站點(diǎn)之間交換的所有數(shù)據(jù)。因此，URL 縮短程序可以攔截它想要的任何內(nèi)容：輸入的憑據(jù)、社交網(wǎng)絡(luò)消息等等。

個(gè)人間諜活動(dòng)

在大多數(shù)情況下，供大眾使用的短鏈接被放置在社交網(wǎng)絡(luò)帖子或網(wǎng)頁上。但如果郵件是通過信使或電子郵件發(fā)送給您個(gè)人或您的個(gè)人或工作地址，則會(huì)產(chǎn)生額外的風(fēng)險(xiǎn)。使用此類鏈接，已經(jīng)掌握有關(guān)您的一些信息的攻擊者可以將您重定向到預(yù)先填寫了您的個(gè)人數(shù)據(jù)的網(wǎng)絡(luò)釣魚網(wǎng)站。例如，訪問具有有效用戶名并要求輸入密碼的銀行網(wǎng)站的副本，或者訪問某些服務(wù)的“支付網(wǎng)關(guān)”，其中預(yù)先填寫了您的銀行卡號，要求您輸入安全碼。

此外，此類鏈接還可用于人肉搜索和其他類型的跟蹤，特別是在 URL 縮短服務(wù)提供高級功能的情況下。例如，我們最近在 Twitch 上發(fā)布的有關(guān)保護(hù)隱私的文章詳細(xì)介紹了對流媒體進(jìn)行去匿名化的方法以及如何應(yīng)對它們。

如何保持受保護(hù)

該怎么辦？我們可以建議永遠(yuǎn)不要點(diǎn)擊短鏈接，但在絕大多數(shù)情況下，URL縮短服務(wù)是用于合法目的的，而短鏈接已經(jīng)變得如此普遍，以至于完全避免并不是一個(gè)真正的選擇。盡管如此，我們建議你特別關(guān)注直接消息和電子郵件中發(fā)送給你的短鏈接。在點(diǎn)擊之前，你可以通過將這些鏈接復(fù)制并粘貼到檢查短鏈接的工具中，比如GetLinkInfo或UnshortenIt，來檢查這些鏈接。

然而，還有一種更簡單的方法：一個(gè)高質(zhì)量的安全解決方案，采用綜合方法同時(shí)關(guān)注安全和隱私。

本文翻譯自：https://usa.kaspersky.com/blog/link-shorteners-privacy-security/28806/如若轉(zhuǎn)載，請注明原文地址