Como os encurtadores de URL funcionam, como podem ser usados e as ameaças à privacidade e à segurança que representam.
Links curtos estão em toda parte. Todos esses bits.ly, ow.ly, t.co, t.me, tinyurl.com e similares há muito se tornaram uma parte familiar do cenário on-line. Tão familiar, na verdade, que a maioria dos usuários clica neles sem pensar duas vezes. Mas pensar nunca é ruim. Com isso em mente, explicamos abaixo como os links curtos funcionam e quais ameaças de privacidade e segurança eles podem representar.
O que acontece quando você clica em um link curto?
Ao clicar em um link curto, você quase vai direto para o destino pretendido, que é o endereço especificado pelo usuário que criou o link. Quase, mas não exatamente: a rota real faz um desvio rápido através do serviço de encurtador de URL.
Quanto mais eficiente for o serviço, menor será a duração e mais suave será a transição para a parada final. É claro que o atraso parece insignificante para uma pessoa comum — nós, humanos, somos bastante lentos. Porém, para um sistema eletrônico, é um tempo longo o suficiente para realizar todos os tipos de atividade, sobre as quais discutiremos em seguida.
Por que links curtos? O principal motivo é o espaço: encurtar um link longo significa que ele ocupa menos da tela (pense em dispositivos móveis) e não consome o limite de caracteres (pense em publicações das redes sociais). Infelizmente, eles não servem apenas para isso. Os criadores de links curtos podem perseguir seus próprios objetivos, não necessariamente motivados pela preocupação com os usuários. Vamos falar sobre isso.
Links curtos e rastreamento de usuários
Você já se perguntou por que muitos links da Internet são tão longos e feios? Geralmente, isso ocorre porque os links codificam todos os tipos de parâmetros para rastrear cliques, as chamadas tags UTM.
Normalmente, essas tags são implementadas para determinar onde o usuário clicou no link e, portanto, para avaliar a eficácia das campanhas publicitárias, o posicionamento nas páginas do blogger e assim por diante. Isso não é feito em nome da conveniência do usuário, e sim para o marketing digital.
Na maioria dos casos, essa é uma forma bastante inofensiva de rastreamento que não necessariamente coleta dados de quem clica no link: muitas vezes, os profissionais de marketing estão interessados apenas na origem do tráfego. Mas como esse “empacotamento” adicional não tem uma estética bonita e muitas vezes torna o URL incrivelmente longo, os serviços de encurtamento são acionados.
O mais desagradável do ponto de vista da privacidade é que os encurtadores de URL não se limitam a redirecionar os usuários para o endereço de destino. Eles também tendem a coletar uma série de estatísticas sobre os clicadores de links — para que seus dados acabem nas mãos não apenas do criador do link curto por meio de tags UTM incorporadas, mas também dos proprietários do encurtador de URL. Claro, estamos na Internet e todos coletam algum tipo de estatística, mas usar um link curto introduz outro intermediário que armazena dados sobre você.
Links maliciosos disfarçados
Além de violar sua privacidade, os links curtos podem ameaçar a segurança de seus dispositivos e dados. Como não cansamos de repetir: sempre verifique cuidadosamente os links antes de clicar neles. Porém, com links curtos, surge um problema: você nunca sabe ao certo para onde será levado.
Se os cibercriminosos usarem links curtos, o conselho de verificá-los perde o sentido: você só pode descobrir aonde um link leva depois de clicar nele. E aí pode ser tarde demais — se os invasores explorarem uma vulnerabilidade de clique zero no navegador, a infecção poderá ocorrer assim que você acessar o site malicioso.
Links curtos e redirecionamentos dinâmicos
Os cibercriminosos também podem usar ferramentas de redução de links para alterar o endereço de destino conforme a necessidade. Digamos que alguns invasores compraram um banco de dados de milhões de endereços de e-mail e o usaram para enviar mensagens de phishing com algum tipo de link. Mas aqui está o problema (para os invasores): o site de phishing que eles criaram foi rapidamente descoberto e bloqueado. Hospedá-lo novamente em um endereço diferente não é um problema, mas eles teriam que reenviar todas as mensagens de phishing.
A solução é usar um serviço de “shimming” que possibilita alterar rapidamente o URL para onde os usuários serão levados. E o papel dos “shims” aqui pode ser desempenhado por encurtadores de URL, incluindo aqueles originalmente criados com intenções duvidosas.
Com essa abordagem, um link para o serviço de shimming é adicionado ao e-mail de phishing, que redireciona as vítimas para o site dos phishers em seu endereço ativo no momento. Muitas vezes, vários redirecionamentos são usados para turvar ainda mais o caminho. E se o site de phishing de destino for bloqueado, os cibercriminosos simplesmente o hospedam em um novo endereço, alteram o link no shim e o ataque continua.
Ataques “man-in-the-middle”
Algumas ferramentas de redução de links, como o Sniply, oferecem aos usuários mais do que apenas links curtos. Elas permitem rastrear as ações dos clicadores de link no site de destino real. Isto é um ataque “man-in-the-middle”, ou homem no meio, em tradução livre: o tráfego passa por um nó de serviço intermediário que monitora todos os dados trocados entre o usuário e o site de destino. Assim, o encurtador de URL pode interceptar o que quiser: credenciais inseridas, mensagens de redes sociais etc.
Espionagem de indivíduos
Na maioria dos casos, links curtos destinados ao uso em massa são colocados em publicações de redes sociais ou em páginas da Web. Mas riscos surgem se um desses links tiver sido enviado a você pessoalmente — em um aplicativo de mensagens ou até em e-mails pessoais e comerciais. Usando esses links, um invasor que já tenha algumas informações sobre você pode redirecioná-lo para um site de phishing onde seus dados pessoais são pré-preenchidos. Por exemplo, para uma cópia de um site bancário com um nome de usuário válido e uma solicitação para inserir sua senha, ou para o “portal de pagamento” de algum serviço com o número do cartão bancário pré-preenchido, solicitando que você insira um código de segurança.
Além disso, esses links podem ser usados para doxing e outros tipos de rastreamento, especialmente se o serviço de encurtador de URL oferecer funcionalidades avançadas. Por exemplo: nossa publicação recente sobre a proteção da privacidade no Twitch analisou detalhadamente formas de remover o anonimato de streamers e como combater essas ações.
Como manter-se protegido
O que fazer sobre isso? Aconselhamos a nunca clicar em links curtos, mas, na grande maioria dos casos, os encurtadores de URL são usados para fins legítimos; eles se tornaram tão comuns que evitá-los por completo não é mais viável. Dito isso, recomendamos que você preste atenção especial nos links curtos enviados a você em mensagens diretas e e-mails. Você pode inspecioná-los antes de clicar neles copiando-os e colando-os em uma ferramenta de verificação de links curtos, como GetLinkInfo ou UnshortenIt.
No entanto, existe um método mais simples: uma solução de segurança de alta qualidade com uma abordagem integrada que cuida da privacidade e da segurança ao mesmo tempo. Por exemplo, nosso Kaspersky Premium tem um componente de navegação particular que bloqueia os rastreadores on-line mais conhecidos, impedindo que suas atividades on-line sejam monitoradas.
Nossos produtos também oferecem proteção contra fraude e phishing on-line; o Kaspersky Premiumavisará você em tempo hábil antes de acessar um site perigoso, mesmo que o link tenha sido encurtado. E, é claro, o antivírus protegerá contra qualquer tentativa de infecção dos seus dispositivos, incluindo aquelas que exploram vulnerabilidades ainda desconhecidas.
Fonte: https://www.kaspersky.com.br/blog/link-shorteners-privacy-security/21756/