隨著4:2的比分定格,為期一個多月的2018年世界盃於7月15日凌晨落下帷幕,而這期間除了爆冷的各種賽況以及尷尬蹭熱點的惡俗廣告之外,無孔不入的黑灰產也利用各種低危漏洞免費導流,引導用戶參與賭博等引發各類案件的發生,產生極大的社會危害。
近日,據新華社等媒體報道,廣州、福建、瀋陽等多地警方聯合打擊多起網絡賭球案件,抓獲多個作案團伙,涉案金額數十億。而這也驗證了6月21日互聯網售彩平臺(天天中彩票等)全面停售後,大量非法賭博和彩票網站吸引彩民賭球的現象。這些非法賭博網站如何被網民得知?
近日,阿里安全歸零實驗室高級安全專家匯豐通過研究發現,黑灰產在世界盃期間利用谷歌、百度等搜索引擎以及各類網站的系統低危漏洞,突破規則約束和重重障礙,將廣告推送給用戶移動端和PC端設備。
“目前我發現的主要有搜索、個人主頁、文件上傳、跳轉和文件包含等五種場景,”匯豐介紹道,以搜索為例,黑灰產利用搜索鏈可以自定義添加關鍵詞的漏洞,把用戶比較關注的關鍵詞放在搜索鏈接中,並熟悉搜索引擎對於網站權重的判斷規則,免費將帶有賭博網站關鍵詞的搜索鏈前置,“這種方式非常簡單,通過一個腳本即可生成無數相關網頁,增加網站的收錄量以及對用戶的曝光度。”
“以‘世界盃投注’為例,黑灰產會把這個關鍵詞加在一些權重較高的網站鏈接裡,用戶搜索後會看到,但最終跳轉到的是另一個賭博網站。”匯豐稱,數據顯示,“世界盃投注”這一關鍵詞的網站收錄量超過700萬次,其他場景如個人主頁、文件上傳等方式和效果與此類似。
圖說:搜索“世界盃投注”關鍵詞,最終跳轉至博彩網站
事實上,黑灰產利用漏洞或者通過入侵各類網站方式變相為賭博網站引流的手段早已存在。“很多公司只關注漏洞能不能被用來入侵或者遭遇數據洩露,以此來判斷漏洞的嚴重程度,但黑灰產判斷漏洞的唯一標準就是能帶來多少利潤,從這個角度來看,新的攻擊和利用方式就會不斷湧現,”匯豐表示,黑灰產利用的正是很多公司並不重視甚至忽視的“低危”漏洞,積小成大,獲取鉅額的利潤。
“通過‘低危’漏洞,鏈接也可能會跳轉到其他黑灰產網站,竊取用戶信息造成資金損失。”匯豐指出,正是因為這類漏洞不危害互聯網企業自身業務,很多公司並不會去重視或採取修復措施,最終遭受損失的還是用戶,“目前這塊安全領域基本算是空白,所以也沒有類似的第三方服務端安全產品,只能業務提供者自身做調整,主動去修復漏洞,這樣的對抗往往是滯後的,道高一尺魔高兩丈。”
閱讀更多 阿里安全 的文章
