在过去的几周里,我收到了几封来自不同朋友的垃圾邮件,其中只包含指向不同网站的链接。
我想点击这些链接,看看网站上有什么。我的理由是好奇,能够了解网站可能有多危险,以及区分产品垃圾邮件(“购买产品 XYZ!”)和试图对计算机进行危险操作的网站。
我不打算使用生产系统、带有我的个人数据的系统或我不愿意在此过程中丢失的东西;我真的只是好奇。
那么我需要采取哪些措施才能安全地单击这些链接?
到目前为止,我的想法是:
脚注:
[Tinfoil Hat (Mythic Warforged)] 这里。
如果您对 Javascript 之类的东西很方便,我一直很感激view-source:http://www.webaddress.com/URL 栏。要添加锡箔纸,请在 VPN和虚拟机后面进行。
VPN 是必要的,以防攻击者希望您从您的实际 IP 地址亲自访问。您的访问尝试将显示在访问者日志中,但如果他们只是获得一个随机 VPN,那么 Ho Ho Howned。
当然,虚拟机的存在是为了防止对可能存在也可能不存在的查看源页面的奇怪攻击。无助于防止虚拟机转义的东西。或者,您可以在 VPN 后面以编程方式打开一个套接字连接(注意您选择的语言中的漏洞),并使用它GET /page.html HTTP/1.0来抓取 HTML 页面,然后对随附的 Javascript 执行相同操作。
寻找有趣的东西,例如zzz.saveToFile(),这通常表示路过式下载尝试。与故意混淆的 Javascript 相同;它不应该被信任。请记住,缩小和混淆是两个不同的东西。
如果您对 Web 开发很熟悉,并且想确切地了解发生了哪些奇怪的事情,而不必完全按照脚本逐行操作,那么您可以使用开发人员控制台监控发生的变化。这允许您加载动态生成的场外/页外 Javascript 的结果。
这是假设您在虚拟机后面。显然,你不想在你的主机上尝试这个。
不要忘记您的临时文件夹,通常是%TEMP%. 通过路过式下载,他们通常开始将可执行文件保存到%TEMP%. 您可以查看访问页面时是否发生这种情况。它们可以保存为.tmp文件,稍后重命名为.exe. 这通常是由一个看起来像的函数发现的x.saveToFile()
之后不要忘记重置 VM 的状态/快照。你不想被长期感染。
其他答案很好地涵盖了对您计算机的威胁。然而,还有一个未涵盖的进一步威胁。URL 可能对每个收件人都是唯一的,从而允许黑客识别以下电子邮件:
一旦攻击者获得了这些数据,他们就会显着缩小目标列表,从而允许后续行动成为目标,并避免在非活动\硬目标上花费资源。
在这种情况下,网页可能不是邪恶的(但总是假设它们是邪恶的)。它们的存在只是为了检测链接被点击。
建议是:
没有磁盘空间也没有显卡,很难,但也不是不可能破坏您的系统。
每次重新启动计算机时,它都会像在 DVD 上设置它一样干净。
如果您想真正获得偏执,您还可以每次插入 BIOS 闪存实用程序 DVD 并恢复您的 BIOS。
然而,没有什么是 100% 的。除非你自动化这个过程,否则最大的失败点是你会做错第 x 次。
*如果您有 LAN,请不要忘记您的手机、智能电视、保姆摄像头等。我会去有线并跳过所有的无线网络。
**这里的要点是,您不希望有人将您的电子邮件地址与您的 IP + 真实身份联系起来。但这是一个更大的问题。
其他回复不包括的一件事是,这些 URL 通常是随机生成的,并且可以跟踪活动的电子邮件。例如,垃圾邮件发送者可能会发送一封电子邮件:
购买这些新的魔法药丸:http ://example.com/mOUEVpWY8s
但是,每封电子邮件都会包含不同的mOUEVpWY8s结尾。当您单击链接时,它会告诉垃圾邮件发送者您的电子邮件仍然处于活动状态且正在使用中,而且接收电子邮件的人也愿意单击链接。