Проанализировали всю сеть и обнаружили, что угроза кибербезопасности скрывается на виду
Кредит: Pixabay/CC0 Общественный домен
Наша бумага Опубликовано на веб -конференции 2024 года, показывает, что угрозы кибербезопасности в Интернете могут использоваться в значительно большем масштабе, чем предполагалось ранее. Что касается, мы обнаружили, что эти захватывающие гиперссылки на веб -сайтах крупных компаний, религиозных организаций, финансовых фирм и даже правительств.Гиперссылки на этих веб -сайтах могут быть угнаны, не запуская никаких сигналов тревоги.Только бдительные - некоторые могут сказать, что параноидальные - пользователи избегали бы попадать в эти ловушки. Если бы мы смогли найти эти уязвимости в Интернете, то и другие.Вот что вам нужно знать. Что такое захватывающие гиперссылки? Если вы делаете опечатку при вводе веб -адреса вашего банка, вы можете случайно оказаться на фишинговом сайте - тот, который выдает себя, или «подделка», веб -сайт вашего банка, чтобы украсть вашу личную информацию. Если вы в спешке и не осматриваете веб -сайт, вы можете ввести конфиденциальные личные данные и заплатить высокую цену за свою ошибку.Это может включать Кража личных данных, компромисс счета или финансовые потери.
Опубликовано на веб -конференции 2024 года, показывает, что угрозы кибербезопасности в Интернете могут использоваться в значительно большем масштабе, чем предполагалось ранее.
Что касается, мы обнаружили, что эти захватывающие гиперссылки на веб -сайтах крупных компаний, религиозных организаций, финансовых фирм и даже правительств.Гиперссылки на этих веб -сайтах могут быть угнаны, не запуская никаких сигналов тревоги.Только бдительные - некоторые могут сказать, что параноидальные - пользователи избегали бы попадать в эти ловушки.
Если бы мы смогли найти эти уязвимости в Интернете, то и другие.Вот что вам нужно знать.
Если вы делаете опечатку при вводе веб -адреса вашего банка, вы можете случайно оказаться на фишинговом сайте - тот, который выдает себя, или «подделка», веб -сайт вашего банка, чтобы украсть вашу личную информацию.
Если вы в спешке и не осматриваете веб -сайт, вы можете ввести конфиденциальные личные данные и заплатить высокую цену за свою ошибку.Это может включать
Что -то еще более опасное происходит, когда программисты ошибаются в своем коде.Есть шанс, что их опечатка направит пользователей в интернет -домен, который никогда не был приобретен.Мы называем эти фантомные домены.
Например, программист, создающий ссылку на Thelrnч.com, может случайно ссылаться на Tehlrnч.com - примечание.Если ошибочный домен никогда не был приобретен, кто -то мог бы прийти и купить этот фантомный домен примерно за 10 долларов, угончивая входящий трафик.В этих случаях пользователи платят цены на ошибки программистов.
Эти ошибки, связанные с программистом, не просто рискуют направлять пользователей на сайты фишинга или подделки.Похищенный трафик может быть направлен на ряд ловушек, включая вредоносные сценарии, дезинформацию, наступательный контент, вирусы и любые другие взломы, которые принесет будущее.
Используя высокопроизводительные вычислительные кластеры, мы обработали всю сеть для просмотра для этих уязвимостей.По шкале, никогда не наблюдавшиеся в исследованиях, в общей сложности мы проанализировали данные о более чем 10 000 данных жестких дисков.
При этом мы нашли более 572 000 фантомных доменов.Устреливаемые гиперссылки, направляющие пользователей, были найдены на многих надежных веб -сайтах.В результате иронии это даже включало веб-программное обеспечение, предназначенное для обеспечения соблюдения законодательства о конфиденциальности на веб-сайтах.
Мы исследовали, какие ошибки вызвали эти уязвимости, и классифицировали их.Большинство из них были вызваны опечатками в гиперссылках, но мы также обнаружили другой тип уязвимости, сгенерированной программистом: домены заполнителей.
Когда программисты разрабатывают веб -сайт, который еще не имеет определенного домена, они часто вводят ссылки на фантомный домен с ожиданием, что ссылки будут исправлены позже.
Мы обнаружили, что это является обычным явлением в шаблонах дизайна веб-сайтов, где эстетические компоненты веб-сайта приобретаются у другого программиста, а не разработаны внутри дома.Когда шаблон дизайна позже устанавливается на веб -сайте, Phantom Domains часто не обновляются, что делает ссылки на них.
Чтобы определить, могут ли на практике эксплуатируются захватывающие гиперссылки, мы приобрели 51 из фантомных доменов, на которые они указывают, и пассивно наблюдали входящий трафик.Из этого мы обнаружили значительный трафик, исходящий от угнанных ссылок.По сравнению с аналогичными новыми доменами, в которых не хватало уголовных ссылок, 88% наших фантомных доменов получили больший трафик, а в десять раз больше посетителей.
Для средних пользователей веб -сайтов осознание является ключевым.Ссылкам нельзя доверять.Быть бдительным.
Для тех, кто отвечает за компании и их веб -сайты, мы предлагаем несколько технических контрмеров.Самое простое решение для операторов веб -сайта «сканировать» свои веб -сайты для разбитых ссылок.Бесчисленные бесплатные инструменты доступны для этого.Если найдены сломанные ссылки, исправьте их, прежде чем они похитят.
Британский ученый сэр Тим Бернерс-Ли впервые предложил Интернет в CERN в 1989 году. В своем первом описании этого-все еще широко доступно в Интернете в качестве свидетельства самого себя-есть раздел под названием «Не требования», где решается безопасность.Этот раздел включает в себя роковую фразу:
«[Безопасность данных] имеет второстепенное значение в CERN, где обмен информацией все еще важнее».
Хотя это относилось к CERN в 1989 году, в настоящее время сеть является основной средой обмена информацией современной эпохи.
Мы пришли, чтобы относиться к Интернету как к внешнему компоненту нашего собственного мозга.Об этом свидетельствует популярность крупных языковых моделей, таких как CHATGPT, которые сами обучаются данным из Интернета.
По мере того, как наша зависимость углубляется, может быть, пришло время мысленно переоценить безопасность веб-данных от «не требований» до «важных требований».
Эта статья переиздана из разговора по лицензии Creative Commons.Прочитайте оригинальную статью.
Нашли ошибку в тексте? Напишите нам.