Els enllaços abreujats amaguen perills de seguretat

Compartir

SeguretatEls enllaços que abreugen adreces web llargues, molt usats en Twitter, Facebook o Messenger, poden portar a atacs de "phishing", cucs, robatoris de "cookies" i altres problemes de seguretat informàtica que estan augmentant des de mitjans de l’any passat. Aquests enllaços no mostren a on dirigeixen el navegant, pel que fer-hi clic és encetar un viatge a cegues, avisen els experts.

Mercè Molist – Els enllaços curts són gairebé tan vells com la web, però viuen ara una explosió gràcies a l’èxit de llocs com Twitter, que permeten enviar missatges amb un nombre limitat de caràcters, el que fa necessari abreujar les URL. Així, l’adreça http://www.elpais.com/suple/ciberpais es converteix, si la "passem" pel servei d’abreujament d’enllaços Bit.ly, en http://bit.ly/xvDje. El segon enllaç dirigirà els navegants cap al primer.

El nombre d’aquests serveis ha augmentat exponencialment en el darrer any. El seu denominador comú és que no donen cap pista de quina adreça web s’amaga darrere l’enllaç curt, pel que la persona que hi fa clic no sap a on la redirigeixen. Aquesta incertesa ha estat considerada per l’empresa Cisco com un dels principals problemes de seguretat que veurem enguany.

David Barroso, Director de la Unitat d’e-Crim de S21sec hi està d’acord: "Fem clic cegament en aquests enllaços sense saber a on anem realment, el que és perillós per naturalesa. D’aquesta manera s’esvaeixen totes les bones pràctiques que havíem adquirit, de tenir sentit comú i mirar les URL on anem".

Des de mitjans de l’any passat abunden els atacs de "phishing", "spam" i virus realitzats mitjançant enllaços curts, que els criminals envien a través de les xarxes socials o el correu. En ser adreces emmascarades, els programes anti-spam i antivirus no les detecten com a malicioses. Els incauts que hi fan clic poden acabar en un fals formulari del seu banc, que els demana dades privades.

Serveis com l’abreujador d’enllaços de Google, Goo.gl, s’han emprat massivament per enviar "spam". També és possible infectar-se amb virus, explica Barroso: "Un dels cucs més famosos de les xarxes socials, KoobFace, empra Bit.ly quan s’envia a tots els contactes de la seva víctima, o publica en el seu Twitter que té un vídeo que es pot veure en un enllaç curt i que infectarà a qui el visiti. Un altre cuc, ZeuS, ha emprat TinyURL per propagar-se".

Els enllaços curts faciliten també els atacs de Cross Site Scripting, com el que recentment va fer creure que havien canviat la foto de José Luis Rodríguez Zapatero per una de Mr. Bean, a la web de la presidència espanyola de la Unió Europea. Per a què aquest engany tingués èxit, les víctimes havien d’introduir en el seu navegador una llarga adreça URL, creada pels atacants. Emprant enllaços curts van aconseguir amagar-la i no despertar sospites.

L’investigador argentí Mario Vilas ha avisat d’altres malifetes que es podrien realitzar amb enllaços curts, fent que aquests amaguin no una URL sinó codi, com un Javascript que faci que s’obri una finestra inesperada en el navegador o que robi les "cookies" de la víctima. Per sort, no tots els serveis escurçadors ho permeten, malgrat que sí un dels més populars: TinyURL.

La defensa davant d’aquests atacs és usar aplicacions com Echofon o Longurl, que mostren quin enllaç s’amaga darrere del curt, abans de fer-hi clic. Alguns serveis, com TinyURL, tenen l’opció de previsualitzar abans a on ens porta l’enllaç, posant davant la paraula "preview". Per exemple: http://preview.tinyurl.com//yhabhth. Altres serveis, com Bit.ly, han arribat a acords amb empreses de seguretat que revisen tots els seus enllaços.

Un altre perill associat als enllaços curts és que els criminals poden assaltar el servei escurçador i robar o manipular els enllaços. Al juny de l’any passat, Cligs URL va patir un atac que va fer que els seus 2,2 milions d’enllaços apuntessin tots al mateix lloc.

Having fun with URL shorteners

Echofon

Longurl

URL shortening site bit.ly appoints Websense and Sophos to scan for malicious links

URL shortening site hacked to redirect millions of links

Copyright 2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

YCOM
Últimes entrades de YCOM (Veure'ls tots)