Shortlink: utili ma pericolosi

Creare e facilitare il traffico è una delle principali attività di chi cura un sito web per la propria azienda o per scopi personali come ad esempio i blog. Molto spesso, anziché inserire i link interi che portano alle proprie pagine si possono utilizzare servizi gratuiti di creazione di shortlink, che per fare un esempio sono quelli appoggiati a domini esterni ma che, una volta cliccati, mostrano proprio la pagina desiderata. Un altro motivo che porta all’inserimento degli shortlink è anche quello relativo alla lunghezza obbligatoria dei post sui social media, basti pensare al limite di caratteri presente su X (ex Twitter), nel quale inserire un URL per intero costituisce sicuramente uno “spreco” di spazio.

Uno dei problemi occulti legati, però, a questa pratica è relativo al percorso che si fa per arrivare alla pagina, che a differenza di come sembra non è mai diretto. Tramite dei redirect infatti, una volta fatto clic l’utente passa, senza visualizzare alcunché, da una pagina del servizio di creazione degli shortlink. Solitamente, come accennato, il passaggio dal servizio è quasi impercettibile, ma in quel lasso di tempo possono accadere cose delle quali non ci accorgiamo ma che possono avere un impatto sull’utente.

Quando si deve tracciare il traffico da fonti esterne verso il proprio sito si tende ad aggiungere agli URL i necessari tracciatori UTM, che rendono l’indirizzo ancora più lungo ma che fungeranno poi per l’analisi delle statistiche. Questi tracciatori permarrebbero anche a seguito di un inserimento del lungo indirizzo in un servizio di abbreviazione, ma questi parametri potrebbero finire nei database anche dei siti di semplificazione, cosicché anche quest’ultimo conserverà delle informazioni.

Esiste poi un ulteriore pericolo, ovvero quello della effettiva destinazione degli shortlink, questo perché mentre di solito poggiando il cursore del mouse su un collegamento si riesce a vedere se l’URL corrisponde, con i link abbreviati non è possibile effettuare tale verifica e se i collegamenti sono mirati ad un attacco hacker non potremo fare niente per prevenirlo se non evitare di cliccare.

Oltretutto l’uso degli abbreviatori da parte dei malintenzionati può intervenire anche quando, in caso di campagne phishing, i portali di arrivo vengono chiusi a seguito di controlli. Esistono infatti dei sistemi, chiamati di “shimming”, che permettono di modificare in corso d’opera la destinazione di uno shortlink mantenendo quest’ultimo esattamente com’è. Una volta fatto clic, infatti, la vittima vede inizialmente il vecchio link malevolo e poi quello nuovo, facendo andare a segno la campagna e permettendo agli hacker di portare avanti le loro attività.

Alcuni abbreviatori di link, oltretutto, consentono anche il monitoraggio delle attività successive al clic dell’utente sul collegamento abbreviato. Ciò costituisce sicuramente un pericolo, perché un utente malevolo più esperto potrebbe essere in grado di tracciare tutto ciò che viene fatto da chi fa clic, anche l’immissione di credenziali che verrebbero di fatto rubate.

Dopo tutte queste considerazioni verrebbe in mente, come consiglio, di non fare clic sugli shortlink in nessun caso, mentre ciò è evidentemente impossibile anche a causa di una maggior parte di collegamenti assolutamente legittimi. C’è però una possibilità per cercare di acquisire maggior tranquillità prima di cliccare, ovvero alcuni servizi gratuiti che consentono di vedere anteprime delle pagine di destinazione. Chiaramente, in modo più generale, è importante ricordare che ci son diversi fattori da analizzare, alcuni dei quali sono il modo in cui abbiamo ricevuto il link, il mittente e la pagina in cui lo visualizziamo. Se lo riceviamo da un numero sconosciuto via SMS o su WhatsApp è chiaro come il clic sia inutile così come l’utilizzo del servizio di anteprima. Lo stesso vale per pagine non verificate o profili social palesemente fasulli.

 

Fonte: 1