Az Uniform Resource Locator (egységes erőforrásazonosító, röviden URL) nem több, mint egy célmeghatározás, ami három részből áll. Az első rész egy protokoll, amely megmondja, hogyan csatlakozunk a weboldalhoz. Ez normál esetben HTTP (szabad szöveg) vagy HTTPS (titkosított kapcsolat). A második rész a domain maga, vagyis a weboldal, amelyhez csatlakozni szeretnénk. A harmadik rész a konkrét tartalom, amit a weboldalon meg szeretnénk tekinteni. Amikor egy URL-t gépelünk be böngészőbe, a böngésző veszi ezt a nevet és feloldja egy IP címre, ugyanis az Interneten ezen az IP címen található meg a weboldal. A böngésző ezt követően csatlakozik a weboldalhoz, letölti az adott oldalt, ami ezután megtekinthetővé válik. A probléma az, hogy a kiberbűnözők különböző trükkökkel élhetnek az URL-ekkel kapcsolatban, amely során azt gondoljuk, hogy egy legitim weboldalt látogatunk meg, miközben valójában egy másik oldalhoz kapcsolódunk, amelyet ők felügyelnek és amely weboldalnak a legvalószínűbb célja, hogy adatainkat ellopja vagy a böngészőn keresztül megfertőzze a számítógépünket. Ahová gondoljuk, hogy megyünk és ahová ténylegesen kerülünk, két teljesen különböző dolog lehet. Nézzük meg, hogyan működik egy URL, néhány URL támadás és, hogyan lehet védekezni ezekkel szemben.
Rövid URL-ek
Valószínűleg mindenki látott már ún. rövid URL-t, ami nem több, egy olyan szolgáltatásnál, ami egy nagyon hosszú, komplex URL-t rövidít le egy nagyon rövid, egyszerű URL-re. Ez megkönnyíti a hosszú, komplex URL-ek hagyományos kommunikációs csatornákon történő küldését például email-ekben. Akkor is használatos, amikor a rendelkezésre álló karakterek száma korlátozott, mint a Twitter-en vagy az üzenetküldő szolgáltatásokban. A rövidítő szolgáltatásokra példa a tinyurl.com, a bit.ly vagy a goo.gl. A kockázat a rövidített URL-ek használatával az, hogy amikor rákattintunk, nem látjuk a valódi célt. Így a támadók rövidített URL-eket küldhetnek, amelyek az általuk felügyelt weboldalakra visznek.
A védekezés egyik módja meggyőződni a rövid URL céljáról, mielőtt ténylegesen a hivatkozásra kattintanánk. Sok weboldal kínál olyan szolgáltatást, amely lehetővé teszi, hogy rövidített URL megadásával megnézzük annak valódi célját (lásd Hivatkozások rész). Továbbá néhány rövid URL is lehetővé teszi a valódi cél megtekintését. Amennyiben például a bit.ly szolgáltatásának egy URL-je áll rendelkezésre, akkor egyszerűen egy „+” jel hozzáadásával az URL végéhez, megtekinthető a valódi cél, mint az alábbi esetben: http://bit.ly/1ney3O0+
QR kódok
A QR kód az URL rövidítőkhöz hasonló koncepció, amelyet az okostelefonokra hoztak létre. A QR kód nem más, mint egy URL digitális képpé alakítása. A mobil eszköz egy speciális alkalmazását használva a QR kódról egy fénykép készíthető, amely a mobil eszközön megnyitja a böngészőt és így megjelenik a QR kódba ágyazott weboldal. Azonban ennek hasonló kockázata van, mint a rövidített URL-eknek, gyakorlatilag megbízunk egy QR kódban, amiről nem tudjuk, hogy hová vezet. Képzeljük el, hogy egy vonat pályaudvaron vagy egy repülőtéren vagyunk, ahol egy poszter egy új filmet reklámoz. A poszteren azt láthatjuk, hogy a QR kód beolvasásával egy olyan weboldalra jutunk, ahol a mozifilm előzetesét nézhetjük meg, ha ezt az okostelefonunkkal beolvassuk. Míg a poszter többnyire legitim, bármely bűnöző odaballaghatott a poszterhez és ráragaszthatott egy QR kódot az eredetire, amelyet saját maga készített. Így bármely eszköz, amely QR kódot beolvassa, nem azt a weboldalt fogja megjeleníteni, ahol mozifilm előzetese látható, hanem a támadó által felügyelt weboldalt. Ugyanúgy, mint az rövid URL-ek esetén, először ellenőrizni kell a célt. Győződjünk meg róla, hogy a QR kód olvasó alkalmazás támogatja annak lehetőségét, hogy először megmutassa, hová vinne, majd pedig megadja a döntés lehetőségét, hogy meg akarjuk-e tekinteni a célt vagy sem. Amennyiben a QR kód olvasó alkalmazás nem ad lehetőséget a cél előzetes megtekintésére, válasszunk egy másik alkalmazást, mivel számos ingyenes lehetőség van.