Fachartikel

URL Obfuscation: Kein Link ohne Risiko

Der Browser ist die Schnittstelle des Nutzers ins WWW und vermutlich die am häufigsten genutzte Anwendung weltweit. Dass die Masse an Browser-Usern als potentielle Opfer auch Cyberkriminelle aller Couleur anzieht, ist naheliegend. Um ihre Absichten im Dunkeln zu lassen, ist es meist das erste Anliegen der Angreifer, halbseidene Links so gut wie möglich zu tarnen. Dieser Beitrag gibt einen Überblick über die Methoden der URL Obfuscation und erklärt, was Sie dagegen tun können.
Neue Technologien wie QR-Codes erhöhen das Risiko, über einen Link auf eine gefährdende Seite im Web zu gelangen
Erklärtes Ziel der Schattengestalten des Web ist es, Gewinn aus den WWW-Nutzern zu generieren. Dies geschieht über viele Wege – den Verkauf von Plagiaten, den Betrug mit Pharmazeutika oder den Diebstahl von virtuellen Identitäten. Bekannte Empfehlungen zum Schutz des Nutzers lauten, nur bekanntermaßen sichere Webseiten zu besuchen, in Web-Formularen keine Kontodaten oder TANs einzugeben und im Web nicht unbedingt jeden Link anzuklicken.

Manipulierte Links nur schwer erkennbar
Da das WWW ohne Mausklick aber nicht funktioniert, lassen erfahrene Anwender ihren Blick zumindest kurz über die Statuszeile des Browsers am unteren Bildschirmrand schweifen. Dort wird schon beim bloßen Überfahren des Links mit der Maus die komplette mit dem Link verknüpfte Adresse angezeigt. Verweist also in einem deutschen Online-Shop ein Link plötzlich nach Russland, werden nicht wenige Nutzervorsichtig und gehen (zu Recht) von einem Täuschungsversuch aus.

So hilfreich der Blick auf die Statuszeile sein mag – die Empfehlung, die Link-Zieladresse so zu überprüfen, ist längst wertlos geworden. Denn diese Anzeige zu manipulieren, stellt eine leichte Übung das. Ein wenig JavaScript, etwas Vertrauen auf die Gutgläubigkeit des Webseitenbesuchers und schon ist der Umweg zu den Cyberkriminellen vorprogrammiert – keine Hexerei, sondern einfaches Programmierhandwerk. Abhängig von den jeweiligen Sicherheitseinstellungen schlagen zwar manche Browser bei bestimmten Verschleierungsversuchen Alarm. Dies ist jedoch nicht immer der Fall und stellt deshalb keinen echten Schutz dar.

Gefährliche Ziele im QR-Code
Neben den kreativen Elementen der Cybercrime-Szene gibt es technische Neuerungen, die bestehende Empfehlungen ad absurdem führen. Bestes Beispiel dafür sind die immer häufiger genutzten QR-Codes (Quick Response). Dabei handelt es sich um die Variante eines Strichcodes, die bis zu 4.296 alphanumerische Zeichen enthalten kann. Über diese Grafiken lassen sich problemlos Links weitergeben. Dabei wird der Link im Muster codiert abgelegt. Über ein Smartphone lässt sich dann beispielsweise der in der Grafik enthaltenen Link auslesen und aufrufen. Die Security-Option, zuerst die Zieladresse des QR-Codes anzuzeigen, ist leider nicht in allen QR-Code-Lesern integriert.

Wird der QR-Code zudem nur als Image auf einer Webseite eingebunden, also ohne direkte Verlinkung, sind dem Nutzer die Hände gebunden, da er ohne Hilfsmittel keine QR-Codes lesen kann. Da QR-Codes eine steigende Tendenz zur missbräuchlichen Verwendung aufzeigen, hat Security-Experte Andreas Winterer in seinem Blog "scareware.de" zwei Texte [1, 2] zu den Gefahren von QR-Codes und grafischen Links veröffentlicht. Hier ist vor allem im Umfeld von mobilen Geräten entsprechende Vorsicht angeraten. Doch auch beim Surfen am Desktop lässt sich bei Nutzung eines URL-Verkürzers das eigentliche Ziel der Verknüpfung sehr einfach verschleiern.

Einfallstore URL-Verkürzung und JavaScript
Bei einer absichtlichen, kriminellen Verlinkung ist der Nutzer nicht mehr in der Lage, die Qualität eines Links zu beurteilen. Selbst ein Blick in den HTML-Code einer Webseite offenbart meistens nur dem erfahrenen Experten die Ziel-Adresse. Aber selbst Experten benötigen mitunter Zeit zur Analyse, denn nicht nur Links lassen sich verschleiern, sondern auch ganze Webseiten. Aus einem leserlichen HTML-Code wird dabei ein undurchschaubares Code-Monster. Aber sogar bei einer unbeabsichtigten Link-Obfuscation, die sich zum Beispiel durch Nutzung eines URL-Verkürzungsdienstes ergibt, bleibt der Anwender oft auf der Strecke. Denn die wenigsten überprüfen mit Services wie etwa "longurlplease.com" [3], wohin die Links wirklich führen oder nutzen ein Browser-Plugin, das dies automatisiert erledigt.

Auch die Empfehlung mancher Security-Experten, JavaScript im Browser zu deaktivieren und damit die Verschleierung zu erschweren, ergibt nicht unbedingt Sinn. Denn ohne JavaScript sind viele Webseiten nicht mehr nutzbar. Alternative Sprachen wie PHP oder PEARL, mit eine URL Obfuscation ebenso zu machen ist, wären davon nicht betroffen. Von weiteren Methoden wie zum Beispiel einer URL-Umleitung (Redirection) per Webserver-Konfigurationsdatei ganz zu schweigen.




                                                Seite 1 von 2                     Nächste Seite>>


6.08.2012/Ralph Dombach/ln

Nachrichten

Sicherheit für Cloud und 5G [13.02.2019]

Palo Alto Networks hat mehrere neue Funktionen eingeführt, die Angriffe vorhersagen und durch Automatisierung stoppen sollen. Ab sofort erhalten Next-Generation-Firewall-Kunden, die auf die PAN-OS-Version 9.0 upgraden, Zugang zu diesen neuen Sicherheitsfähigkeiten, bestehend aus mehr als 60 neuen Funktionen und Tools zur einfachen Implementierung von Security Best Practices. [mehr]

Im Fadenkreuz [5.02.2019]

Proofpoint lüftet den Vorhang für den 'Proofpoint Targeted Attack Protection Index' (TAP). Dabei handelt es sich um einen Index, mit dessen Hilfe die IT-Security-Teams in den Unternehmen die aktuelle Gefährdung einzelner Personen im Unternehmen einschätzen könnten. Der Hintergrund sei die Strategie der Cyberkriminellen, nicht die technische Infrastruktur direkt anzugreifen, sondern über Mitarbeiter Zugang zu Systemen im Unternehmen zu erlangen. [mehr]

Tipps & Tools

Citrix: Basis-vDisk erstellen [3.02.2019]

In Citrix-Umgebung kann es vorkommen, dass eine vDisk importiert werden muss, bei der Änderungen in verschiedenen Versionen gespeichert sind, aber die zugehörige XML Datei nicht (mehr) verfügbar ist. Glücklicherweise gibt es eine Methode, um eine neu zusammengeführte Basis-vDisk außerhalb von PVS zu erstellen, bevor Sie sie in eine Farm importieren, und die dafür keine XML- oder PVP-Dateien benötigt. [mehr]

Vorschau Februar 2019: Cloudmanagement [21.01.2019]

Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern muss. Dafür wiederum wollen Cloudlandschaften passgenau in die Unternehmens-IT eingebunden werden, vor allem wenn es um die Sicherheit geht. In der Februar-Ausgabe widmet sich IT-Administrator dem Cloudmanagement und zeigt unter anderem, wie Sie Azure-Logs auswerten und Red Hat CloudForms mit Ansible verwalten. In unserem großen Vergleichstest treten daneben vier deutsche Hosting-Anbieter gegeneinander an. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen