近日一位網友在家上網時,iPhone Safari網頁裏經常彈出“在手機淘寶中打開鏈接嗎?”的提示框,如下圖:
作為一名iOS碼農,他很自然的知道這是網頁在調用淘寶app的 URL Scheme tbopen://,點了之後打開淘寶去領券,如果你按提示下單了,推廣者就能拿到返利。問題在於,網頁為什麼會發出這種請求,結合當前網站是http,他覺得可能是被劫持了,之後的排查過程也證實了他的猜想。
相信以上這樣的經歷各位並不陌生,日常生活中我們打開app想要進行購物時,偶爾會出現被莫名跳轉至另一不知名的購物網站,或者在瀏覽過程中頻繁出現彈窗誘導訪問的情況。上述看似普通的網頁訪問跳轉背後實際上隱藏着一條巨大的黑灰產業鏈,即訪問流量利益爭奪下催生的流量劫持行為。
什麼是流量劫持?
所謂流量劫持,是指違法犯罪分子通過進入計算機信息系統,改變用户的原始訪問指令,強制或誘導用户訪問其指定的特定網頁。
流量劫持主要分為域名劫持和HTTP劫持兩種。域名劫持主要表現為用户被強制引導至其他網站,導致其無法登錄欲訪問網站;而HTTP劫持主要表現是以廣告形式頻繁彈窗。
流量劫持所引發的網頁跳轉和頻繁彈窗不僅會影響到用户的上網體驗,同時也存在跳轉至釣魚網站非法獲取用户身份認證信息後威脅其財產安全的情況。對於互聯網公司而言,因流量劫持導致訪問分流,勢必也會侵害其正當利益。
HTTP被劫持怎麼辦?
如果確認遭遇了HTTP劫持,可以向ISP(互聯網服務提供商,即向廣大用户綜合提供互聯網接入業務、信息業務、和增值業務的電信運營商)客服強烈投訴來達到免於被劫持的目的。因為劫持技術本身設計中包括類似黑名單的功能,如果收到寬帶用户的強烈反對,ISP會將該用户放入"黑名單"過濾掉,於是用户在短期內就不會遇到劫持的情況了。
HTTPS的出現對利用網絡劫持的企業來説,無疑是一個巨大的打擊。天威誠信表示HTTPS的出現,通過對數據的加密,使得第三方難以修改我們的數據內容。就像紙條上的文字只有甲方跟丙方能夠看懂,作為乙方根本不知道紙條上寫的是什麼內容,就無從下手對內容進行修改。同時,給紙條加上信封,再加上一次性的印戳,使得乙方根本無法看到紙條上的內容,因為一旦拆開信封,丙方就知道自己的信息被第三方看到了,從而對紙條內容產生懷疑。SSL證書就像信封,把我們的數據放在裏面,只有指定的一方可以解讀這個數據,一旦數據被第三方劫持,接受數據的用户就會產生不信任,從而丟棄數據。
部署全站HTTPS加密是防止流量劫持最基礎、最重要的安全防護措施!
HTTPS在HTTP基礎上加入SSL/TLS協議,對服務器與終端、服務器與服務器之間的傳輸數據進行加密,保護數據的機密性並驗證數據的完整性。天威誠信表示通過HTTPS加密連接傳輸的數據,流經運營商、路由器、WiFi等任意節點時都是密文,即使被劫持或竊取,沒有私鑰也無法解密,確保數據在傳輸過程中全程安全。
SSL/TLS協議提供的身份認證機制,依靠SSL證書驗證服務器身份真實性,確保數據傳輸到正確的通信方,防止虛假服務器釣魚攻擊,欺詐用户或竊取用户數據。全站部署HTTPS加密可以確保用户每一次連接、每一次訪問都通過安全加密的方式進行,防止HTTP明文傳輸和局部HTTPS加密可能導致的安全風險。
北京天威誠信電子商務服務有限公司是國家授牌CA認證機構;專業從事數字證書等技術和產品服務,服務於阿里巴巴、百度、騰訊、京東、聯想、金山、中行、工行、建行等全行業超95%的大客户,覆蓋超10億網民。
在巨大的利益面前,流量劫持早已形成一個規模龐大的黑色產業鏈。源源不斷的收入刺激,讓流量劫持成了“野火燒不盡”的網絡痼疾,也給企業帶來了高達千萬級的經濟損失。天威誠信提醒您為避免流量劫持,在全民HTTPS時代,各位站長們趕快行動起來吧!
【圖片來源於freebuf及網絡,侵刪】