Короткие ссылки: чем они опасны?

Все мы регулярно встречаемся с короткими ссылками — все эти bit.ly, ow.ly, t.co, t.me, tinyurl.com и им подобные давно стали привычной частью онлайн-ландшафта. Настолько привычной, что большинство пользователей кликает по ним, совершенно не задумываясь. Но вообще-то задумываться стоит: в этом посте рассказываем, как работают короткие ссылки и какие угрозы для приватности и безопасности могут из-за них возникать.

Что происходит, когда вы кликаете по короткой ссылке

Когда вы кликаете по короткой ссылке, вы почти сразу попадаете туда, куда она, собственно, и должна вести, — по адресу, который указал пользователь, создавший эту ссылку. Почти, но не совсем: на очень короткое время вы переходите на сервис для сокращения ссылок.

Чем лучше работает этот сервис — тем это время короче, а переход по конечному адресу выглядит максимально гладким и незаметным для пользователя. Разумеется, это короткое время является несущественным только по меркам человека — мы, люди, очень медленные. Для электронной системы его вполне достаточно для массы всевозможных интересных действий, о которых мы поговорим ниже.

Для чего используются короткие ссылки? Основная цель лежит на поверхности: чтобы превратить длиннющую ссылку во что-то короткое, что не займет много места на экране (для мобильных устройств) и не съест лимит на количество символов (для постов в соцсетях). Увы, этим дело не ограничивается: создатели коротких ссылок могут преследовать собственные цели, вовсе не обязательно продиктованные заботой о пользователях. Самое время о них поговорить.

Короткие ссылки и отслеживание пользователей

Не все, наверное, задумываются: почему ссылки в современном Интернете такие длинные и некрасивые? Чаще всего это происходит потому, что в ссылках закодированы всевозможные параметры для отслеживания переходов по ним — так называемые UTM-метки.

Обычная цель использования таких меток — определить, из какого источника пользователь перешел по ссылке, и таким образом оценить эффективность той или иной рекламной кампании, размещения у того или иного блогера и так далее. Делается это, конечно же, не для удобства пользователя, а во имя цифрового маркетинга.

В большинстве случаев это достаточно безобидный вариант отслеживания, в ходе которого не обязательно собираются данные пользователей, воспользовавшихся ссылкой: нередко маркетологов интересует просто источник трафика. Но, поскольку эта дополнительная «обвязка» в ссылке не очень красиво выглядит и зачастую делает URL невменяемо длинным, ее скрывают с помощью сервисов для сокращения ссылок.

Более неприятно с точки зрения приватности, что сервисы для создания коротких ссылок не ограничиваются перенаправлением пользователей на конечный адрес, но и сами собирают кучу статистики о тех, кто воспользовался короткими ссылками. Таким образом ваши данные попадают не только создателю короткой ссылки, замаскировавшему в ней UTM-метки, но и владельцам сервиса сокращения URL. Конечно, это Интернет, и в нем все собирают какую-нибудь статистику, но при использовании короткой ссылки возникает еще одно промежуточное звено, собирающее данные о вас.

Маскировка вредоносных ссылок

Помимо нарушения вашей приватности, короткие ссылки могут угрожать и безопасности ваших устройств и данных. Мы постоянно повторяем, что следует внимательно проверять ссылки перед тем, как по ним кликнуть. Но с короткими ссылками возникает проблема — понять, куда вас перебросит после перехода по ней, без дополнительных действий по определению невозможно.

И если киберпреступники используют один из сервисов для сокращения ссылок, то совет проверять их лишается смысла: узнать адрес, на который ссылка ведет на самом деле, вы сможете только после перехода. А тут уже может быть поздно — если атакующие, например, используют какую-нибудь из уязвимостей «нулевого клика» в браузере, то заражение может произойти сразу, как только вы попадете на зловредный сайт.

Короткие ссылки и динамические редиректы

Киберпреступники могут также использовать сервисы сокращения ссылок ради возможности менять целевой адрес в зависимости от текущих потребностей. Предположим, что какие-нибудь злоумышленники купили базу из миллионов электронных адресов и разослали по ней фишинговые письма — естественно, с некоей ссылкой. Но вот беда — для злоумышленников, конечно: созданный ими фишинговый сайт быстро обнаружили и заблокировали. Запустить его снова по другому адресу — не проблема, но ведь тогда придется повторять рассылку заново.

Решение — использовать сервис-«прокладку», где можно быстро изменить адрес, на который будут переходить пользователи. В роли таких «прокладок» могут, в частности, выступать и сервисы для сокращения ссылок, в том числе изначально созданные с прицелом на использование во всяких сомнительных целях.

При таком подходе в фишинговое письмо добавляется ссылка на сервис-«прокладку», который перенаправляет пользователей на фишинговый сайт по активному на текущий момент адресу. Зачастую используются множественные редиректы, позволяющие еще больше запутать следы. А если целевой фишинговый сайт блокируют, преступники просто размещают его по новому адресу, меняют ссылку в «прокладке» — и атака продолжается.

Атаки типа «человек посередине»

Некоторые сервисы сокращения ссылок — например, Sniply — предлагают своим пользователям больше, чем просто создание коротких линков. Они позволяют отслеживать действия перешедших по ссылке уже на сайте назначения, фактически реализуя атаку «человек посередине»: трафик проходит через промежуточный узел сервиса — тот мониторит все данные, которыми обмениваются пользователь и сайт назначения. Таким образом, подобный сервис может перехватывать что угодно — введенные логины-пароли, переписку на сайтах соцсетей и так далее.

Персональный шпионаж

В большинстве случаев короткая ссылка размещается в посте социальной сети или на веб-странице и предназначена для массового использования. Но дополнительные риски возникают, если сокращенный линк пришел персонально вам — в мессенджере или письме на личный или рабочий адрес. С использованием подобных ссылок злоумышленник, уже обладающий какой-то информацией о вас, может перенаправить вас на фишинговый сайт, где уже будут подставлены ваши персональные данные. Например, на копию сайта банка с верным логином и просьбой ввести пароль или на «платежный шлюз» некоего сервиса с предзаполненным номером вашей банковской карты и требованием ввести код безопасности.

Кроме того, такие ссылки могут использоваться для персонального доксинга и других видов слежки, особенно при использовании сервисов сокращения ссылок с расширенным функционалом. Так, в недавнем посте о том, как защитить свою приватность в Twitch, мы подробно рассматривали способы деанонимизации стримеров и методы борьбы с этим.

Как защититься

Как же быть? Тут можно было бы дать совет никогда не кликать по коротким ссылкам, но в подавляющем большинстве случаев сервисами для сокращения ссылок пользуются в легитимных целях, да и встречаются короткие ссылки настолько часто, что не кликать по ним совсем вряд ли получится. Мы рекомендуем уделить особенное внимание проверке коротких ссылок, приходящих вам в личных сообщениях и электронных письмах. Проверить подобные ссылки перед открытием можно, скопировав их и воспользовавшись одним из сервисов проверки сокращенных ссылок, например GetLinkInfo или UnshortenIt.

Однако есть и более простой метод: благодаря комплексному подходу качественное защитное решение позволяет позаботиться одновременно и о приватности, и о безопасности. Например, в нашем Kaspersky Premium есть компонент «Защита от сбора данных», который блокирует большинство известных онлайн-трекеров и таким образом препятствует отслеживанию ваших действий в Интернете.

Также в наших продуктах есть защита от онлайн-мошенничества и фишинга, благодаря которой Kaspersky Premium вовремя предупредит вас, если вы попадете на опасный сайт — даже по сокращенной ссылке. Ну и, конечно же, антивирус защитит от любых попыток заражения ваших устройств — в том числе таких, которые используют еще неизвестные уязвимости.