黑灰产利用的正是很多公司并不重视甚至忽视的「低危」漏洞,积小成大,获取巨额的利润。
随着 4:2 的比分定格,为期一个多月的 2018 年世界杯于 7 月 15 日凌晨落下帷幕,而这期间除了爆冷的各种赛况以及尴尬蹭热点的恶俗广告之外,无孔不入的黑灰产也利用各种低危漏洞免费导流,引导用户参与赌博等引发各类案件的发生,产生极大的社会危害。
近日,据新华社等媒体报道,广州、福建、沈阳等多地警方联合打击多起网络赌球案件,抓获多个作案团伙,涉案金额数十亿。而这也验证了 6 月 21 日互联网售彩平台(天天中彩票等)全面停售后,大量非法赌博和彩票网站吸引彩民赌球的现象。这些非法赌博网站如何被网民得知?
近日,阿里安全归零实验室高级安全专家汇丰通过研究发现,黑灰产在世界杯期间利用谷歌、百度等搜索引擎以及各类网站的系统低危漏洞,突破规则约束和重重障碍,将广告推送给用户移动端和 PC 端设备。
「目前我发现的主要有搜索、个人主页、文件上传、跳转和文件包含等五种场景,」汇丰介绍道,以搜索为例,黑灰产利用搜索链可以自定义添加关键词的漏洞,把用户比较关注的关键词放在搜索链接中,并熟悉搜索引擎对于网站权重的判断规则,免费将带有赌博网站关键词的搜索链前置,「这种方式非常简单,通过一个脚本即可生成无数相关网页,增加网站的收录量以及对用户的曝光度。」
「以『世界杯投注』为例,黑灰产会把这个关键词加在一些权重较高的网站链接里,用户搜索后会看到,但最终跳转到的是另一个赌博网站。」汇丰称,数据显示,「世界杯投注」这一关键词的网站收录量超过 700 万次,其他场景如个人主页、文件上传等方式和效果与此类似。
搜索「世界杯投注」关键词,最终跳转至博彩网站事实上,黑灰产利用漏洞或者通过入侵各类网站方式变相为赌博网站引流的手段早已存在。「很多公司只关注漏洞能不能被用来入侵或者遭遇数据泄露,以此来判断漏洞的严重程度,但黑灰产判断漏洞的唯一标准就是能带来多少利润,从这个角度来看,新的攻击和利用方式就会不断涌现,」汇丰表示,黑灰产利用的正是很多公司并不重视甚至忽视的「低危」漏洞,积小成大,获取巨额的利润。
「通过『低危』漏洞,链接也可能会跳转到其他黑灰产网站,窃取用户信息造成资金损失。」汇丰指出,正是因为这类漏洞不危害互联网企业自身业务,很多公司并不会去重视或采取修复措施,最终遭受损失的还是用户,「目前这块安全领域基本算是空白,所以也没有类似的第三方服务端安全产品,只能业务提供者自身做调整,主动去修复漏洞,这样的对抗往往是滞后的,道高一尺魔高两丈。」
