Fachartikel

URL Obfuscation: Kein Link ohne Risiko

Der Browser ist die Schnittstelle des Nutzers ins WWW und vermutlich die am häufigsten genutzte Anwendung weltweit. Dass die Masse an Browser-Usern als potentielle Opfer auch Cyberkriminelle aller Couleur anzieht, ist naheliegend. Um ihre Absichten im Dunkeln zu lassen, ist es meist das erste Anliegen der Angreifer, halbseidene Links so gut wie möglich zu tarnen. Dieser Beitrag gibt einen Überblick über die Methoden der URL Obfuscation und erklärt, was Sie dagegen tun können.
Neue Technologien wie QR-Codes erhöhen das Risiko, über einen Link auf eine gefährdende Seite im Web zu gelangen
Erklärtes Ziel der Schattengestalten des Web ist es, Gewinn aus den WWW-Nutzern zu generieren. Dies geschieht über viele Wege – den Verkauf von Plagiaten, den Betrug mit Pharmazeutika oder den Diebstahl von virtuellen Identitäten. Bekannte Empfehlungen zum Schutz des Nutzers lauten, nur bekanntermaßen sichere Webseiten zu besuchen, in Web-Formularen keine Kontodaten oder TANs einzugeben und im Web nicht unbedingt jeden Link anzuklicken.

Manipulierte Links nur schwer erkennbar
Da das WWW ohne Mausklick aber nicht funktioniert, lassen erfahrene Anwender ihren Blick zumindest kurz über die Statuszeile des Browsers am unteren Bildschirmrand schweifen. Dort wird schon beim bloßen Überfahren des Links mit der Maus die komplette mit dem Link verknüpfte Adresse angezeigt. Verweist also in einem deutschen Online-Shop ein Link plötzlich nach Russland, werden nicht wenige Nutzervorsichtig und gehen (zu Recht) von einem Täuschungsversuch aus.

So hilfreich der Blick auf die Statuszeile sein mag – die Empfehlung, die Link-Zieladresse so zu überprüfen, ist längst wertlos geworden. Denn diese Anzeige zu manipulieren, stellt eine leichte Übung das. Ein wenig JavaScript, etwas Vertrauen auf die Gutgläubigkeit des Webseitenbesuchers und schon ist der Umweg zu den Cyberkriminellen vorprogrammiert – keine Hexerei, sondern einfaches Programmierhandwerk. Abhängig von den jeweiligen Sicherheitseinstellungen schlagen zwar manche Browser bei bestimmten Verschleierungsversuchen Alarm. Dies ist jedoch nicht immer der Fall und stellt deshalb keinen echten Schutz dar.

Gefährliche Ziele im QR-Code
Neben den kreativen Elementen der Cybercrime-Szene gibt es technische Neuerungen, die bestehende Empfehlungen ad absurdem führen. Bestes Beispiel dafür sind die immer häufiger genutzten QR-Codes (Quick Response). Dabei handelt es sich um die Variante eines Strichcodes, die bis zu 4.296 alphanumerische Zeichen enthalten kann. Über diese Grafiken lassen sich problemlos Links weitergeben. Dabei wird der Link im Muster codiert abgelegt. Über ein Smartphone lässt sich dann beispielsweise der in der Grafik enthaltenen Link auslesen und aufrufen. Die Security-Option, zuerst die Zieladresse des QR-Codes anzuzeigen, ist leider nicht in allen QR-Code-Lesern integriert.

Wird der QR-Code zudem nur als Image auf einer Webseite eingebunden, also ohne direkte Verlinkung, sind dem Nutzer die Hände gebunden, da er ohne Hilfsmittel keine QR-Codes lesen kann. Da QR-Codes eine steigende Tendenz zur missbräuchlichen Verwendung aufzeigen, hat Security-Experte Andreas Winterer in seinem Blog "scareware.de" zwei Texte [1, 2] zu den Gefahren von QR-Codes und grafischen Links veröffentlicht. Hier ist vor allem im Umfeld von mobilen Geräten entsprechende Vorsicht angeraten. Doch auch beim Surfen am Desktop lässt sich bei Nutzung eines URL-Verkürzers das eigentliche Ziel der Verknüpfung sehr einfach verschleiern.

Einfallstore URL-Verkürzung und JavaScript
Bei einer absichtlichen, kriminellen Verlinkung ist der Nutzer nicht mehr in der Lage, die Qualität eines Links zu beurteilen. Selbst ein Blick in den HTML-Code einer Webseite offenbart meistens nur dem erfahrenen Experten die Ziel-Adresse. Aber selbst Experten benötigen mitunter Zeit zur Analyse, denn nicht nur Links lassen sich verschleiern, sondern auch ganze Webseiten. Aus einem leserlichen HTML-Code wird dabei ein undurchschaubares Code-Monster. Aber sogar bei einer unbeabsichtigten Link-Obfuscation, die sich zum Beispiel durch Nutzung eines URL-Verkürzungsdienstes ergibt, bleibt der Anwender oft auf der Strecke. Denn die wenigsten überprüfen mit Services wie etwa "longurlplease.com" [3], wohin die Links wirklich führen oder nutzen ein Browser-Plugin, das dies automatisiert erledigt.

Auch die Empfehlung mancher Security-Experten, JavaScript im Browser zu deaktivieren und damit die Verschleierung zu erschweren, ergibt nicht unbedingt Sinn. Denn ohne JavaScript sind viele Webseiten nicht mehr nutzbar. Alternative Sprachen wie PHP oder PEARL, mit eine URL Obfuscation ebenso zu machen ist, wären davon nicht betroffen. Von weiteren Methoden wie zum Beispiel einer URL-Umleitung (Redirection) per Webserver-Konfigurationsdatei ganz zu schweigen.




                                                Seite 1 von 2                     Nächste Seite>>


6.08.2012/Ralph Dombach/ln

Nachrichten

Grenzsicherheit [4.12.2020]

HashiCorp kündigt neue identitätsbasierte Sicherheits- und Zugriffsangebote an, mit denen Unternehmen beim Übergang zu einer Multicloud-Infrastruktur unterstützt werden sollen. So sind nun Vault und Consul auf der HashiCorp-Cloud-Plattform (HCP) als Beta-Versionen verfügbar und das Unternehmen führt HashiCorp Boundary ein. [mehr]

Raffinierte Angriffe auf deutsche Unternehmen [3.12.2020]

Der APT-Akteur DeathStalker bietet jetzt vermutlich Hacking-for-Hire-Dienste an, um vertrauliche Geschäftsinformationen von Unternehmen im Finanz- und Rechtssektor zu stehlen. Experten von Kaspersky haben neue Aktivitäten des Akteurs ausmachen können und eine neue Malware-Implantations- und Bereitstellungstaktik entdeckt. [mehr]

Tipps & Tools

Jetzt schon vorbestellen: Sonderheft vSphere 7 [16.11.2020]

Auch 2021 erwarten Sie neben den zwölf Monatsheften des IT-Administrator wieder zwei unserer beliebten Sonderhefte. Das erste liefert unter dem Titel "VMware vSphere 7 – Server, Netze und Storage virtualisieren" auf 180 Seiten Know-how zur Planung, Verwaltung und Absicherung der neuen vSphere-Version. Nach einer Übersicht der Lizenzformen und Gedanken zum Sizing der vSphere-Landschaft widmet sich das Autorenteam unter anderem ausführlich Fragen der Migration. Das Sonderheft erscheint im April 2021. Abonnenten des IT-Administrator profitieren wie immer von einem Sonderpreis. [mehr]

Im Test: IONOS Private Cloud [29.10.2020]

Für die flexible Bereitstellung von Rechen- und Speicherkapazität bedienen sich viele Unternehmen Clouddiensten. Amazon Web Services und Microsoft Azure beispielsweise bieten skalierbare Umgebungen, um IT nach Bedarf zu nutzen. Für die Virtualisierung sensibler, interner Server hat sich hingegen die Private Cloud etabliert. Mit IONOS Private Cloud lassen sich auch derartige Daten und Dienste sicher auslagern. Wir haben das Angebot getestet. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen