特寫

狙擊網絡攔路虎
孟瑋透析網絡安全與點擊攔截

2021年5月

問大家一個問題:你有否試過在上網時,正在瀏覽的畫面彈出以下訊息?

「恭喜!您是本網站的第一萬位訪客。點擊此處領取獎品吧!」

「我們在您的電腦上偵測到病毒。請按『確定』開始修復程序。」

「想在餘生享用無窮無盡的甜甜圈嗎?請點擊此鏈結。」

相信你的答案和絕大多數網民一樣,都是「有」。

網絡騙徒的手法層出不窮,擅於編造扣人心弦的標題或內容吸引電腦用家注意。一旦受騙上鉤,點擊鏈接,便會在不經意間下載惡意電腦程式或洩漏個人資料。

這種邪門歪道通稱「點擊誘餌」,是網上騙子常用手法之一。儘管現今許多網民都對此騙術有所警惕,網絡欺詐者最終還是魔高一丈。

「請大家想像以下場景:你是BBC新聞的忠實讀者,每天都會瀏覽其官網發布的內容。某天,你如常瀏覽該網站並看到一則有趣的要聞。你不假思索點擊進去,然後在下一瞬間,你便成為了惡意程式或木馬病毒的受害者。」計算機科學與工程學系孟瑋教授說道:「沒錯,瀏覽器確實打開了一個新頁面,但其實是個與BBC新聞網沒有任何關聯的惡意版面。」

孟教授以BBC新聞網為例,在第二十八屆USENIX安全研討會上講解關於點擊攔截的學術研究<em>(由受訪者提供)</em>

孟教授好學深思、孜孜不倦。喜愛科學的他對虛擬世界着迷,自小熱衷拆解各種電腦難題。在眾多範疇中,他認為網路安全及瀏覽器隱私的學術領域最具挑戰。

「人們一直以為在電腦安裝了防毒軟件,或瀏覽曾造訪過的網站便可免遭網絡攻擊。這是很大的謬誤。」孟教授說:「『點擊攔截』──即操縱和重置網路用戶點擊的做法──便是個好例子。網絡欺詐者可透過不同方法誘騙用戶點擊網頁元素,令他們下載惡意軟件,瀏覽惡意網站,洩露個人資訊等。這些手法極其高明,普通人難以辨別。」

孟教授於2016年在佐治亞理工學院攻讀博士學位時已開始鑽研與互聯網及瀏覽器濫用特權有關的題目。在獲得博士學位後,他於2017年加入中大,繼續從事電腦隱私和系統安全設計的研究,並最終就點擊攔截的手法和原理發表學術報告。

「點擊攔截的手法雖然五花八門,操作原理卻大同小異。它們一般都是由外人在互聯網內容提供者的網頁中運行JavaScript代碼繼而攔截點擊。」他解釋:「在眾多手法中,約86%的個案都與『第一方超連結修改』這方法有關──外人透過修改超連結的代碼,把網頁鏈接到經外部篡改的惡意網站,使用戶遭受網絡攻擊。」

然而,點擊攔截技術已達爐火純青,甚至能騙到經驗老道的用家。「欺詐者能仿造和官網一模一樣的網站,內容真假難分。」他說:「有時候,他們會製作隱藏圖標以掩蓋網頁上原本的內容,誘導用戶進入原要訪問鏈接以外的其他網頁。這些技巧非常微妙,真偽亦異常難辨。」

Chromium瀏覽器的程式代碼

為進一步解決點擊攔截所衍生的問題,孟教授與賓夕法尼亞州立大學和首爾大學的教授及微軟研究院的人員攜手創造了名為「觀察者」的電腦框架,能夠在瀏覽器檢測和分析用戶在網上點擊的行為。

「『觀察者』基本上是一組可在網絡瀏覽器中執行的電腦代碼,能夠監察編程語言JavaScript的結構和動態行為。」孟教授解釋:「通過比較遇過點擊攔截問題的網站和未遇過此等問題的網站之間的JavaScript,我們可考究攻擊者如何操縱點擊,從而找出解決相應問題的最佳方案。」

孟教授及其團隊以Google Chrome瀏覽器為基礎,訪問了合共二十五萬個網站,並在「觀察者」運行超過二百萬個「導航URL」(即瀏覽器在用戶點擊後鏈接的第一個網站)。找出經歷過點擊攔截的網站並加以分類後,他們便追溯這些導航URL的代碼,比較它們相似和不同之處。

經過多輪數據整理和仔細分析,孟教授得出驚人結論。「出乎意料的是,約36%的點擊攔截個案與網上廣告有關。經進一步調查,我們發現某些內容提供者為了換取金錢,有意無意允許第三方在其網站操控用戶點擊。」

孟教授認為,這種現象與網上廣告的「點擊次數付費模式」有關:新聞發布者及其他內容提供者一般在用戶點擊過網頁中的廣告後才會收到廣告商的付費。因此,為了從廣告商賺取更多收入,最直接產生用戶點擊的方法莫過於鏈接網頁的超連結至廣告網頁,強迫使用者收看一遍廣告。

「在商言商,內容提供者通常不太在乎廣告商背地裏的意圖。欺詐者亦因此看准機會,利用這個漏洞在網上平台攔截點擊,誘騙用戶訪問惡意網站。」

經內容提供者網頁上的點擊攔截而瀏覽的廣告頁面──用戶可能會面臨下載惡意程式的風險<em>(由受訪者提供)</em>

孟教授在第二十八屆USENIX安全研討會上發布了上述研究。該研討會是個開放式的媒體平台,讓研究人員和學者向全世界分享計算機系統和網絡安全隱私的最新理論。他的團隊亦發布了其電腦框架的原始碼,以幫助用戶檢測網絡瀏覽器,警告他們瀏覽的網站是否存在點擊攔截的風險。

他說:「我們的目標是讓用戶免受網絡攻擊,防止他們在互聯網上蒙受損失。」

展望將來,孟教授的日程排得滿滿,多不勝數的工作等待他和團隊完成。「除了微調『觀察者』的準確性及令它成為實時的互聯網檢測工具外,我們還計劃研究手機、平板電腦等移動平台的安全問題,竭盡所能消除網絡隱患。」

網絡安全和公共衞生在許多方面都甚為相似:在新冠大流行期間,我們都會戴口罩、勤洗手、保持社交距離等等。箇中道理非常簡單:我們每人都應盡一分力減緩及阻止病毒傳播,責無旁貸。

「科技世界的領域也是如此。無論你喜歡與否,點擊攔截的問題確實存在;當然,網站版主有責任確保其網絡資源不會引來攔截攻擊,但假若他們失職,那就需要網絡使用者自發採取簡單而有效的安全措施,阻截網絡罪犯乘虛而入。」孟教授提醒道:「謹記定時更新所有電腦軟件,瀏覽可靠的網站。如網站要求你提供個人資料或安裝未知軟件,須格外小心,切忌點擊任何來歷不明的內容。」

常言道:「小心駛得萬年船。」防患於未然,總比事後追悔莫及好。

文/ronaldluk@cuhkcontents
攝影/gloriang@cuhkimages