快捷网址会给用户带来什么样的新风险

ZDNet安全频道原创翻译 转载请注明作者以及出处

对于网络攻击者来说，TinyURL和Bit.ly(ly是利比亚的国家域名)之类的快捷网址服务已经成为受欢迎的攻击载体。在读完本文后，你可能再也不会自动点击快捷网址。
-------------------------------------------------------------------------------------------

　　开发快捷网址服务的最初目的是避免在通过电子邮件传递的时间造成网络地址损坏，无法正常访问需要的网站。即时通讯(IM)和Twitter微型网络日志的日益流行更是促进了类似TinyURL和Bit.ly之类快捷网址服务的发展，在这里，起到决定性作用的就是Twitter每条信息一百四十个字符的限制。

　　它们的工作原理

　　TinyURL、Bit.ly以及其它提供快捷网址服务的网站是怎样工作的呢?下面我们就详细了解一下：

　　1. 返回各自的网站。

　　2. 复制实际的网络地址并粘贴到输入框中。

　　3. 如果想获得快捷网址的话，就点击缩短的选项。

　　4. 新的快捷网址就产生了，选择结束，完成整个操作。

　　这样的话，你就得到了一个如下图所示的新快捷网址。

　　从图上你可以发现新的快捷网址没有什么意义，并且看上去和原始网络地址没有任何形式的关系。

　　潜在的诈骗模式

　　和很多应用一样，尽管对于守法的普通用户来说，它可以提供帮助，但攻击者和垃圾邮件发送者往往也可以利用相同的方法获取不义之财。快捷网址服务就在下面的领域给攻击者和垃圾邮件发送者提供了可乘之机：

　　· 通过TinyURL之类自动获得信任的域名，垃圾邮件发送者可以绕过垃圾电子邮件过滤器的监测发送垃圾电子邮件。

　　· 防止用户通过检查实际网站的网络地址发现可疑的网站。

　　· 将用户重定向到钓鱼网站以获取个人隐私信息。

　　· 将用户重定向到包含恶意软件的网站，并安装恶意软件到用户的系统中。

　　正如你所看到的，在受害者不知道的情况下，快捷网址服务可以带来各种各样的破坏。

　　一个例子

　　对于这一特定领域中的攻击行为，趋势科技一直非常积极地进行研究，下面的图片就来自他们的官方网站。在这个例子中，展示的是一种典型的攻击手段，通过发送包含虚假链接的电子邮件对收件人进行诈骗。在第一张图中，显示的就是包含网络钓鱼攻击行为电子邮件的内容：

　　你可能已经注意到，电子邮件中显示是实际网络地址，而不是经过简化的版本。攻击者认识到，用户已经被频繁地提示不要直接点击链接，而应该将网络地址复制并粘贴到网络浏览器上进行访问。因此，他们选择使用极长的网络地址，让复制粘贴操作变得非常困难。这下好了，为什么不直接点击连接就可以了呢，这个网络地址看上去没有什么问题。

　　比较专业的用户可能会检查一下链接的属性，了解这个网络地址的实际含义。这也正是为什么攻击者选择Bit.ly和TinyURL之类服务的主要原因。因为，它们让用户不能发现连接中的真正内容。这真是欲擒故纵的典范。

　　下一张图片显示的是一个虚假网站的连接，它是如此的逼真，看上去和真正的银行网站没有什么区别：

　　因此，如果用户已经上当，重要的信息就有可能会被网络钓鱼者获得。

　　这已经不是新鲜事了

　　我敢肯定，即使使用了快捷网址服务，大多数用户也是不会受到来自即时通讯或电子邮件钓鱼攻击欺骗的。坏蛋们都知道利用Twitter中的小工具是更方便有效的。tweets(Twitter个人助理)中的快捷网址服务就是这样的地方，它可以自动点击快捷网址，而这正是一个钓鱼/攻击者想要的。

　　更重要的甚至是，很多人是在自己的计算机上使用Twitter。在使用者不知道的情况下，通过快捷网址服务将让计算机连接诈骗或恶意网站是一种非常简单有效的方式。尽管我们不需要过于悲观，但是安全专家表示，在包含了短信功能的移动电话上出现同样的攻击只是一个时间问题。

　　解决这个问题的希望

　　每天，在tweets中我都会收到几十条快捷网址的信息。我有些担心，但通常情况下，如果希望了解更多信息的话，我是会打开它们。我也知道你会说什么。我选择打开的就是应该信任的。是，不是，还是不一定?

　　我可以很高兴地在这里说，至少有两个提供快捷网址服务的网站提供了预览功能，这是非常好。这意味着使用者在决定是否打开以前，可以查看网络地址的真正信息。

　　TinyURL提供的预览功能

　　如果你需要使用TinyURL提供的预览功能的话，就需要打开计算机或者智能手机的网络浏览器，登录到TinyURL的网站上，选择打开预览功能。这样的话，以后每当TinyURL提供的快捷网址被点击，浏览器就可以立即打开象下图所示的预览网页：

　　在我利用iPhone智能手机上的Twitter客户端应用时，TinyURL的预览功能不能正常工作。举例来说，当我点击Tweetie里的TinyURL连接时，它会打开Safari网络浏览器，并登录到联系信息的页面。这可不是什么好事情，我不得不记住只能打开短信应用中的连接。

　　Bit.ly提供的预览功能

　　Bit.ly提供的预览功能采用了不同的模式。它们提供了一个Firefox网络浏览器的扩展插件。一旦安装完毕，在Bit.ly提供的快捷网址出现的时间，就会出现一个窗口，显示网络地址的完整信息。该扩展插件还处于测试状态，因此，如果你希望安装它的话，需要登录到Mozilla网站上。

　　由于Firefox网络浏览器是必须的，所以Bit.ly的预览功能在智能手机上实现起来比较复杂。我知道Firefox网络浏览器有支持Windows Mobile 6操作系统的移动版本，但我没有基于Windows操作系统的智能手机。因此，如果你将Bit.ly的预览功能在这个移动版本的Firefox网络浏览器上的使用效果告诉我的话，我将不胜感激你的来信。

　　结 论

　　许多业内专家指出，不论是在电子邮件、即时通讯或者tweets中，我们都不应该点击活动链接。但实际上，这仅仅是一种不切实际的期望，因此，在打开连接(特别是那些快捷网址)的时间，请务必保持谨慎的态度。如果可能的话，请首先使用预览功能来查看链接的实际内容。

　　记得我在前面提到过，我应该信任来自已经适应的连接?非常好，我正在对另一种非常有趣的快捷网址攻击方式进行研究。看起来，攻击者可以通过使用短信诈骗网站发送看上去象来自让你感觉值得信任的人的tweets信息。我正在继续分析这将意味着什么?