Manipulierte Links nur schwer erkennbar
Da das WWW ohne Mausklick aber nicht funktioniert, lassen erfahrene Anwender ihren Blick zumindest kurz über die Statuszeile des Browsers am unteren Bildschirmrand schweifen. Dort wird schon beim bloßen Überfahren des Links mit der Maus die komplette mit dem Link verknüpfte Adresse angezeigt. Verweist also in einem deutschen Online-Shop ein Link plötzlich nach Russland, werden nicht wenige Nutzervorsichtig und gehen (zu Recht) von einem Täuschungsversuch aus.
So hilfreich der Blick auf die Statuszeile sein mag – die Empfehlung, die Link-Zieladresse so zu überprüfen, ist längst wertlos geworden. Denn diese Anzeige zu manipulieren, stellt eine leichte Übung das. Ein wenig JavaScript, etwas Vertrauen auf die Gutgläubigkeit des Webseitenbesuchers und schon ist der Umweg zu den Cyberkriminellen vorprogrammiert – keine Hexerei, sondern einfaches Programmierhandwerk. Abhängig von den jeweiligen Sicherheitseinstellungen schlagen zwar manche Browser bei bestimmten Verschleierungsversuchen Alarm. Dies ist jedoch nicht immer der Fall und stellt deshalb keinen echten Schutz dar.
Gefährliche Ziele im QR-Code
Neben den kreativen Elementen der Cybercrime-Szene gibt es technische Neuerungen, die bestehende Empfehlungen ad absurdem führen. Bestes Beispiel dafür sind die immer häufiger genutzten QR-Codes (Quick Response). Dabei handelt es sich um die Variante eines Strichcodes, die bis zu 4.296 alphanumerische Zeichen enthalten kann. Über diese Grafiken lassen sich problemlos Links weitergeben. Dabei wird der Link im Muster codiert abgelegt. Über ein Smartphone lässt sich dann beispielsweise der in der Grafik enthaltenen Link auslesen und aufrufen. Die Security-Option, zuerst die Zieladresse des QR-Codes anzuzeigen, ist leider nicht in allen QR-Code-Lesern integriert.
Wird der QR-Code zudem nur als Image auf einer Webseite eingebunden, also ohne direkte Verlinkung, sind dem Nutzer die Hände gebunden, da er ohne Hilfsmittel keine QR-Codes lesen kann. Da QR-Codes eine steigende Tendenz zur missbräuchlichen Verwendung aufzeigen, hat Security-Experte Andreas Winterer in seinem Blog "scareware.de" zwei Texte [1, 2] zu den Gefahren von QR-Codes und grafischen Links veröffentlicht. Hier ist vor allem im Umfeld von mobilen Geräten entsprechende Vorsicht angeraten. Doch auch beim Surfen am Desktop lässt sich bei Nutzung eines URL-Verkürzers das eigentliche Ziel der Verknüpfung sehr einfach verschleiern.
Einfallstore URL-Verkürzung und JavaScript
Bei einer absichtlichen, kriminellen Verlinkung ist der Nutzer nicht mehr in der Lage, die Qualität eines Links zu beurteilen. Selbst ein Blick in den HTML-Code einer Webseite offenbart meistens nur dem erfahrenen Experten die Ziel-Adresse. Aber selbst Experten benötigen mitunter Zeit zur Analyse, denn nicht nur Links lassen sich verschleiern, sondern auch ganze Webseiten. Aus einem leserlichen HTML-Code wird dabei ein undurchschaubares Code-Monster. Aber sogar bei einer unbeabsichtigten Link-Obfuscation, die sich zum Beispiel durch Nutzung eines URL-Verkürzungsdienstes ergibt, bleibt der Anwender oft auf der Strecke. Denn die wenigsten überprüfen mit Services wie etwa "longurlplease.com" [3], wohin die Links wirklich führen oder nutzen ein Browser-Plugin, das dies automatisiert erledigt.
Auch die Empfehlung mancher Security-Experten, JavaScript im Browser zu deaktivieren und damit die Verschleierung zu erschweren, ergibt nicht unbedingt Sinn. Denn ohne JavaScript sind viele Webseiten nicht mehr nutzbar. Alternative Sprachen wie PHP oder PEARL, mit eine URL Obfuscation ebenso zu machen ist, wären davon nicht betroffen. Von weiteren Methoden wie zum Beispiel einer URL-Umleitung (Redirection) per Webserver-Konfigurationsdatei ganz zu schweigen.
Seite 1 von 2 Nächste Seite>>
