特写

狙击网络拦路虎
孟玮透析网络安全与点击拦截

2021年5月

问大家一个问题:你有否试过在上网时,正在浏览的画面弹出以下讯息?

「恭喜!您是本网站的第一万位访客。点击此处领取奖品吧!」

「我们在您的电脑上侦测到病毒。请按『确定』开始修复程序。」

「想在余生享用无穷无尽的甜甜圈吗?请点击此链结。」

相信你的答案和绝大多数网民一样,都是「有」。

网络骗徒的手法层出不穷,擅于编造扣人心弦的标题或内容吸引电脑用家注意。一旦受骗上钩,点击链接,便会在不经意间下载恶意电脑程式或泄漏个人资料。

这种邪门歪道通称「点击诱饵」,是网上骗子常用手法之一。尽管现今许多网民都对此骗术有所警惕,网络欺诈者最终还是魔高一丈。

「请大家想像以下场景:你是BBC新闻的忠实读者,每天都会浏览其官网发布的内容。某天,你如常浏览该网站并看到一则有趣的要闻。你不假思索点击进去,然后在下一瞬间,你便成为了恶意程式或木马病毒的受害者。」计算机科学与工程学系孟玮教授说道:「没错,浏览器确实打开了一个新页面,但其实是个与BBC新闻网没有任何关联的恶意版面。」

孟教授以BBC新闻网为例,在第二十八届USENIX安全研讨会上讲解关于点击拦截的学术研究<em>(由受访者提供)</em>

孟教授好学深思、孜孜不倦。喜爱科学的他对虚拟世界着迷,自小热衷拆解各种电脑难题。在众多范畴中,他认为网路安全及浏览器隐私的学术领域最具挑战。

「人们一直以为在电脑安装了防毒软件,或浏览曾造访过的网站便可免遭网络攻击。这是很大的谬误。」孟教授说:「『点击拦截』──即操纵和重置网路用户点击的做法──便是个好例子。网络欺诈者可透过不同方法诱骗用户点击网页元素,令他们下载恶意软件,浏览恶意网站,泄露个人资讯等。这些手法极其高明,普通人难以辨别。」

孟教授于2016年在佐治亚理工学院攻读博士学位时已开始钻研与互联网及浏览器滥用特权有关的题目。在获得博士学位后,他于2017年加入中大,继续从事电脑隐私和系统安全设计的研究,并最终就点击拦截的手法和原理发表学术报告。

「点击拦截的手法虽然五花八门,操作原理却大同小异。它们一般都是由外人在互联网内容提供者的网页中运行JavaScript代码继而拦截点击。」他解释:「在众多手法中,约86%的个案都与『第一方超连结修改』这方法有关──外人透过修改超连结的代码,把网页链接到经外部篡改的恶意网站,使用户遭受网络攻击。」

然而,点击拦截技术已达炉火纯青,甚至能骗到经验老道的用家。「欺诈者能仿造和官网一模一样的网站,内容真假难分。」他说:「有时候,他们会制作隐藏图标以掩盖网页上原本的内容,诱导用户进入原要访问链接以外的其他网页。这些技巧非常微妙,真伪亦异常难辨。」

Chromium浏览器的程式代码

为进一步解决点击拦截所衍生的问题,孟教授与宾夕法尼亚州立大学和首尔大学的教授及微软研究院的人员携手创造了名为「观察者」的电脑框架,能够在浏览器检测和分析用户在网上点击的行为。

「『观察者』基本上是一组可在网络浏览器中执行的电脑代码,能够监察编程语言JavaScript的结构和动态行为。」孟教授解释:「通过比较遇过点击拦截问题的网站和未遇过此等问题的网站之间的JavaScript,我们可考究攻击者如何操纵点击,从而找出解决相应问题的最佳方案。」

孟教授及其团队以Google Chrome浏览器为基础,访问了合共二十五万个网站,并在「观察者」运行超过二百万个「导航URL」(即浏览器在用户点击后链接的第一个网站)。找出经历过点击拦截的网站并加以分类后,他们便追溯这些导航URL的代码,比较它们相似和不同之处。

经过多轮数据整理和仔细分析,孟教授得出惊人结论。「出乎意料的是,约36%的点击拦截个案与网上广告有关。经进一步调查,我们发现某些内容提供者为了换取金钱,有意无意允许第三方在其网站操控用户点击。」

孟教授认为,这种现象与网上广告的「点击次数付费模式」有关:新闻发布者及其他内容提供者一般在用户点击过网页中的广告后才会收到广告商的付费。因此,为了从广告商赚取更多收入,最直接产生用户点击的方法莫过于链接网页的超连结至广告网页,强迫使用者收看一遍广告。

「在商言商,内容提供者通常不太在乎广告商背地里的意图。欺诈者亦因此看准机会,利用这个漏洞在网上平台拦截点击,诱骗用户访问恶意网站。」

经内容提供者网页上的点击拦截而浏览的广告页面──用户可能会面临下载恶意程式的风险<em>(由受访者提供)</em>

孟教授在第二十八届USENIX安全研讨会上发布了上述研究。该研讨会是个开放式的媒体平台,让研究人员和学者向全世界分享计算机系统和网络安全隐私的最新理论。他的团队亦发布了其电脑框架的原始码,以帮助用户检测网络浏览器,警告他们浏览的网站是否存在点击拦截的风险。

他说:「我们的目标是让用户免受网络攻击,防止他们在互联网上蒙受损失。」

展望将来,孟教授的日程排得满满,多不胜数的工作等待他和团队完成。「除了微调『观察者』的准确性及令它成为实时的互联网检测工具外,我们还计划研究手机、平板电脑等移动平台的安全问题,竭尽所能消除网络隐患。」

网络安全和公共卫生在许多方面都甚为相似:在新冠大流行期间,我们都会戴口罩、勤洗手、保持社交距离等等。个中道理非常简单:我们每人都应尽一分力减缓及阻止病毒传播,责无旁贷。

「科技世界的领域也是如此。无论你喜欢与否,点击拦截的问题确实存在;当然,网站版主有责任确保其网络资源不会引来拦截攻击,但假若他们失职,那就需要网络使用者自发采取简单而有效的安全措施,阻截网络罪犯乘虚而入。」孟教授提醒道:「谨记定时更新所有电脑软件,浏览可靠的网站。如网站要求你提供个人资料或安装未知软件,须格外小心,切忌点击任何来历不明的内容。」

常言道:「小心驶得万年船。」防患于未然,总比事后追悔莫及好。

文/ronaldluk@cuhkcontents
摄影/gloriang@cuhkimages