Deceptive attacks in modern web

Abstract

Deception on the Web remains a persistent threat, as attackers increasingly exploit not only psychological and visual manipulation but also the technological complexity of modern platforms. Despite growing attention to phishing and malware, there is limited understanding of how emerging technologies enable new, harder-to-detect forms of deception--posing challenges for both detection and remediation. In this thesis, we examine how recent web advancements, specifically browser capabilities and social platforms, can be exploited to mount deception-based attacks, and analyze the operational challenges in mitigating them. We first study link previews on 20 social platforms, uncovering how inconsistencies in preview generation and a lack of safeguards allow attackers to craft and distribute benign-looking previews for malicious links. We then investigate clickbait PDFs, documents mimicking web content and leading to web attacks. Analyzing 176,208 real-world samples, we find that attackers primarily rely on SEO abuse and that most files evade antivirus detection. To understand how attackers maintain such campaigns, we monitor 4,648,939 PDF links hosted on 177,835 domains, revealing systemic infrastructure abuse. Finally, interviews with 24 hosting providers show that abuse remediation is often deprioritized, not due to technical limits but to misaligned business responsibilities, cost considerations, and the perceived lack of risk posed by compromised customer instances.

Täuschung im Web bleibt eine anhaltende Bedrohung, da Angreifer*innen zunehmend nicht nur psychologische und visuelle Manipulationen nutzen, sondern auch die technologische Komplexität moderner Plattformen. Trotz wachsender Aufmerksamkeit für Phishing und Schadsoftware besteht nur ein begrenztes Verständnis dafür, wie neue Technologien neuartige, schwerer zu erkennende Formen der Täuschung ermöglichen--was sowohl die Erkennung als auch die Abwehr erschwert. In dieser Arbeit wird untersucht, wie aktuelle Entwicklungen im Web, insbesondere Browser-Funktionalitäten und soziale Plattformen, für täuschungsbasierte Angriffe ausgenutzt werden können, und die operativen Herausforderungen bei deren Eindämmung werden analysiert. Zunächst werden Link-Vorschauen auf 20 sozialen Plattformen untersucht und aufgezeigt, wie Inkonsistenzen bei der Generierung von Vorschauen und das Fehlen von Schutzmechanismen es Angreifer*innen ermöglichen, harmlos wirkende Vorschauen für schädliche Links zu erstellen und zu verbreiten. Anschließend werden Clickbait-PDF-Dokumente analysiert, die Webinhalte nachahmen und zu Webangriffen führen. Anhand von 176.208 realen Beispielen wird festgestellt, dass Angreifer*innen hauptsächlich auf den Missbrauch von SEO setzen und dass die meisten Dateien nicht von Antivirensoftware erkannt werden. Um zu verstehen, wie Angreifer*innen solche Kampagnen aufrechterhalten, werden 4.648.939 PDF-Links auf 177.835 Domains überwacht und systematischer Missbrauch von Infrastruktur aufgedeckt. Abschließend zeigen Interviews mit 24 Hosting-Anbietern, dass Missbrauchsbekämpfung oft nachrangig behandelt wird – nicht aufgrund technischer Beschränkungen, sondern wegen unklarer Zuständigkeiten, Kostenüberlegungen und der Wahrnehmung, dass kompromittierte Kundeninstanzen ein geringes Risiko darstellen.