歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

613個主流網站中發現點擊劫持腳本

來源:本站整理 作者:佚名 時間:2019-08-29 TAG: 我要投稿

香港中文大學、微軟研究院、韓國首爾大學和賓夕法尼亞大學的研究人員對點擊劫持進行了研究,發現有613個主流網站存在攔截用戶點擊的惡意腳本。
Clickjacking即點擊劫持,已經廣泛應用于廣告行業了,犯罪分子也利用它來執行在線廣告的隱藏或其他用戶并不希望的點擊來增加收入。過去犯罪分子依賴惡意軟件或自動化腳本來生成對隱藏廣告的虛假點擊,但近年來,犯罪分子開始劫持真實的用戶點擊。
研究人員開發了一個工具OBSERVER來掃描Alexa Top 250000的網站來確定其中是否使用以下三種方式來攔截用戶點擊的腳本:
1. 通過超鏈接攔截點擊。惡意攻擊者使用惡意腳本來圍繞原始站點上的合法連接來劫持目的地。

2. 通過event handlers 攔截點擊。惡意攻擊者使用惡意腳本來修改網站的event handlers,劫持用戶的鼠標點擊,并重定向到web頁的其他元素或區域。

3. 通過視覺欺騙攔截點擊。惡意攻擊者使用惡意腳本在合法站點上創建元素使其看起來就像是站點的原始內容,或在合法內容上創建一個透明的覆蓋,這對其他元素來說就是一種劫持。

研究人員使用OBSERVER共檢測到有613個網站存在437個劫持用戶點擊的第三方腳本,這613個網站的每日訪問量約為4300萬。掃描結果如下:

其中一些惡意腳本被用來攔截點擊,和點擊廣告來盈利,其他惡意腳本攔截用戶點擊并重定向用戶到顯示恐嚇軟件、技術支持郵件或兜售惡意軟件的惡意站點中。
研究人員還檢測到一些攔截用戶點擊的第三方腳本,這些腳本還會限制其攔截點擊的頻率以免被用戶懷疑。根據收集的數據,大多數合法站點中的點擊劫持腳本都是廣告解決方案的一部分。

大約有36%的含有點擊劫持的頁面都是用來生成廣告收入的。研究人員稱造成這一問題泛濫的原因是在線廣告上使用了更先進的方法可以檢測主機生成的點擊。因此,犯罪分子開始劫持真實的用戶點擊來替代之前自動化腳本或惡意軟件執行的點擊操作。
研究人員預測未來該問題會繼續發展。為了保護用戶,研究人員建議用戶鼠標劃過鏈接或點擊鏈接前瀏覽器能顯示關于創建鏈接的人,比如顯示該鏈接是由原始站點域名添加的還是第三方添加的。
研究人員的成果已經被第28屆USENIX安全大會錄取
論文題目:All Your Clicks Belong to Me: Investigating Click Interception on the Web,
論文下載地址:https://www.usenix.org/system/files/sec19-zhang-mingxue.pdf
PPT下載地址:https://www.usenix.org/sites/default/files/conference/protected-files/sec19_slides_zhang-mingxue.pdf
 

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐