我们的最新研究发现,网站上的可点击链接通常会被重定向到恶意目的地。我们将这些称为“可劫持的超链接”,并在整个网络上发现了数以百万计的超链接,包括在受信任的网站上。
我们的论文在 2024 年网络会议上发布的报告表明,网络上的网络安全威胁可能被利用的规模比之前想象的要大得多。
令人担忧的是,我们在大公司、宗教组织、金融公司甚至政府的网站上发现了这些可劫持的超链接。这些网站上的超链接可以被劫持,而不会触发任何警报。只有保持警惕(有些人可能会说是偏执)的用户才能避免落入这些陷阱。
如果我们能够在网络上找到这些漏洞,其他人也能。这是您需要了解的内容。
什么是可劫持的超链接?
如果您在输入银行网址时输入错误,您可能会意外进入网络钓鱼网站,该网站会冒充或“欺骗”您银行的网站以窃取您的个人信息。
如果您匆忙而没有仔细检查网站,您可能会输入敏感的个人信息,并为您的错误付出高昂的代价。这可能包括身份盗窃、帐户泄露或经济损失。
当程序员在代码中错误输入网址时,会发生更危险的情况。他们的拼写错误有可能将用户引导至从未购买过的互联网域名。我们称这些为幻像域。
例如,链接到 theconversation.com 的程序员可能会意外链接到 tehconversation.com – 请注意拼写错误。如果输入错误的域名从未被购买过,那么有人可能会以 10 澳元左右的价格购买该虚拟域名,从而劫持入站流量。在这些情况下,程序员的错误的代价是由用户付出的。
这些程序员链接错误不仅有将用户引导至网络钓鱼或欺骗网站的风险。被劫持的流量可以被引导至一系列陷阱,包括恶意脚本、错误信息、攻击性内容、以及未来将会带来的任何其他黑客行为。
超过 50 万个虚拟域名
使用高性能计算集群,我们处理了整个可浏览的网络以查找这些漏洞。我们总共分析了超过 10,000 个硬盘的数据,其规模在研究中从未见过。
通过这样做,我们发现了超过 572,000 个虚拟域名。在许多受信任的网站上都发现了将用户引导至它们的可劫持超链接。具有讽刺意味的是,这甚至包括旨在在网站上执行隐私立法的基于网络的软件。
我们调查了导致这些漏洞的错误并对它们进行了分类。大多数是由超链接中的拼写错误引起的,但我们还发现了另一种程序员生成的漏洞:占位符域。
当程序员开发一个尚未具有特定域的网站时,他们通常会输入指向虚拟域的链接,并期望这些链接稍后会得到修复。
我们发现这在网站设计模板中很常见,其中网站的美学组件是从其他程序员那里购买的,而不是内部开发的。当设计模板稍后安装在网站上时,虚拟域通常不会更新,从而导致指向它们的链接可被劫持。
为了确定可劫持的超链接是否可以在实践中被利用,我们购买了 51 个它们指向的虚拟域,并被动地观察入站流量。由此,我们检测到来自被劫持链接的大量流量。与没有被劫持链接的类似新域名相比,我们 88% 的虚拟域名获得了更多流量,访问者数量增加了十倍。
可以做什么?
对于普通网络用户来说,意识是关键。链接不可信。警惕。
对于公司及其网站的负责人来说,我们提出了几项技术对策。最简单的解决方案是网站运营商“抓取”其网站以查找损坏的链接。有无数免费工具可用于执行此操作。如果发现任何损坏的链接,请在它们被劫持之前修复它们。
我们,网络
英国科学家蒂姆·伯纳斯·李爵士欧洲核子研究中心 (CERN) 首次提出网络1989 年。在他对它的最早描述中(至今仍在网络上广泛传播,这足以证明其本身),有一个标题为“非要求”的部分,其中解决了安全问题。这一部分包括了致命的短语:
在欧洲核子研究中心(CERN),[数据安全]是次要的,信息交换仍然更重要。
虽然 1989 年的 CERN 就是这样,但网络现在已成为现代的主要信息交换媒介。
我们已经开始将网络视为我们大脑的外部组件。 ChatGPT 等大型语言模型的流行就证明了这一点,这些模型本身是根据网络数据进行训练的。
随着我们的依赖性加深,可能是时候在心里将网络数据安全性从“非要求”重新分类为“重要要求”了。
凯文·萨里克,计算机科学家和机电工程师,联邦科学与工业研究组织
