Fachartikel

URL Obfuscation: Kein Link ohne Risiko

Der Browser ist die Schnittstelle des Nutzers ins WWW und vermutlich die am häufigsten genutzte Anwendung weltweit. Dass die Masse an Browser-Usern als potentielle Opfer auch Cyberkriminelle aller Couleur anzieht, ist naheliegend. Um ihre Absichten im Dunkeln zu lassen, ist es meist das erste Anliegen der Angreifer, halbseidene Links so gut wie möglich zu tarnen. Dieser Beitrag gibt einen Überblick über die Methoden der URL Obfuscation und erklärt, was Sie dagegen tun können.
Neue Technologien wie QR-Codes erhöhen das Risiko, über einen Link auf eine gefährdende Seite im Web zu gelangen
Erklärtes Ziel der Schattengestalten des Web ist es, Gewinn aus den WWW-Nutzern zu generieren. Dies geschieht über viele Wege – den Verkauf von Plagiaten, den Betrug mit Pharmazeutika oder den Diebstahl von virtuellen Identitäten. Bekannte Empfehlungen zum Schutz des Nutzers lauten, nur bekanntermaßen sichere Webseiten zu besuchen, in Web-Formularen keine Kontodaten oder TANs einzugeben und im Web nicht unbedingt jeden Link anzuklicken.

Manipulierte Links nur schwer erkennbar
Da das WWW ohne Mausklick aber nicht funktioniert, lassen erfahrene Anwender ihren Blick zumindest kurz über die Statuszeile des Browsers am unteren Bildschirmrand schweifen. Dort wird schon beim bloßen Überfahren des Links mit der Maus die komplette mit dem Link verknüpfte Adresse angezeigt. Verweist also in einem deutschen Online-Shop ein Link plötzlich nach Russland, werden nicht wenige Nutzervorsichtig und gehen (zu Recht) von einem Täuschungsversuch aus.

So hilfreich der Blick auf die Statuszeile sein mag – die Empfehlung, die Link-Zieladresse so zu überprüfen, ist längst wertlos geworden. Denn diese Anzeige zu manipulieren, stellt eine leichte Übung das. Ein wenig JavaScript, etwas Vertrauen auf die Gutgläubigkeit des Webseitenbesuchers und schon ist der Umweg zu den Cyberkriminellen vorprogrammiert – keine Hexerei, sondern einfaches Programmierhandwerk. Abhängig von den jeweiligen Sicherheitseinstellungen schlagen zwar manche Browser bei bestimmten Verschleierungsversuchen Alarm. Dies ist jedoch nicht immer der Fall und stellt deshalb keinen echten Schutz dar.

Gefährliche Ziele im QR-Code
Neben den kreativen Elementen der Cybercrime-Szene gibt es technische Neuerungen, die bestehende Empfehlungen ad absurdem führen. Bestes Beispiel dafür sind die immer häufiger genutzten QR-Codes (Quick Response). Dabei handelt es sich um die Variante eines Strichcodes, die bis zu 4.296 alphanumerische Zeichen enthalten kann. Über diese Grafiken lassen sich problemlos Links weitergeben. Dabei wird der Link im Muster codiert abgelegt. Über ein Smartphone lässt sich dann beispielsweise der in der Grafik enthaltenen Link auslesen und aufrufen. Die Security-Option, zuerst die Zieladresse des QR-Codes anzuzeigen, ist leider nicht in allen QR-Code-Lesern integriert.

Wird der QR-Code zudem nur als Image auf einer Webseite eingebunden, also ohne direkte Verlinkung, sind dem Nutzer die Hände gebunden, da er ohne Hilfsmittel keine QR-Codes lesen kann. Da QR-Codes eine steigende Tendenz zur missbräuchlichen Verwendung aufzeigen, hat Security-Experte Andreas Winterer in seinem Blog "scareware.de" zwei Texte [1, 2] zu den Gefahren von QR-Codes und grafischen Links veröffentlicht. Hier ist vor allem im Umfeld von mobilen Geräten entsprechende Vorsicht angeraten. Doch auch beim Surfen am Desktop lässt sich bei Nutzung eines URL-Verkürzers das eigentliche Ziel der Verknüpfung sehr einfach verschleiern.

Einfallstore URL-Verkürzung und JavaScript
Bei einer absichtlichen, kriminellen Verlinkung ist der Nutzer nicht mehr in der Lage, die Qualität eines Links zu beurteilen. Selbst ein Blick in den HTML-Code einer Webseite offenbart meistens nur dem erfahrenen Experten die Ziel-Adresse. Aber selbst Experten benötigen mitunter Zeit zur Analyse, denn nicht nur Links lassen sich verschleiern, sondern auch ganze Webseiten. Aus einem leserlichen HTML-Code wird dabei ein undurchschaubares Code-Monster. Aber sogar bei einer unbeabsichtigten Link-Obfuscation, die sich zum Beispiel durch Nutzung eines URL-Verkürzungsdienstes ergibt, bleibt der Anwender oft auf der Strecke. Denn die wenigsten überprüfen mit Services wie etwa "longurlplease.com" [3], wohin die Links wirklich führen oder nutzen ein Browser-Plugin, das dies automatisiert erledigt.

Auch die Empfehlung mancher Security-Experten, JavaScript im Browser zu deaktivieren und damit die Verschleierung zu erschweren, ergibt nicht unbedingt Sinn. Denn ohne JavaScript sind viele Webseiten nicht mehr nutzbar. Alternative Sprachen wie PHP oder PEARL, mit eine URL Obfuscation ebenso zu machen ist, wären davon nicht betroffen. Von weiteren Methoden wie zum Beispiel einer URL-Umleitung (Redirection) per Webserver-Konfigurationsdatei ganz zu schweigen.




                                                Seite 1 von 2                     Nächste Seite>>


6.08.2012/Ralph Dombach/ln

Nachrichten

Geografische und netzwerkbezogene Warnzeichen für Phishing-Angriffe [16.04.2021]

Das Land, aus dem E-Mails stammen, und die Anzahl der Länder, durch die sie auf dem Weg zu ihrem endgültigen Ziel geleitet werden, sind wichtige Warnzeichen für Phishing-Angriffe. In einer neuen Studie von Barracuda in Zusammenarbeit mit der Columbia University wurden Geolokalisierung und Netzwerkinfrastruktur von mehr als 2 Milliarden im Januar 2020 versendeten E-Mails analysiert, darunter 218.000 Phishing-E-Mails. [mehr]

Zero-Day-Schwachstelle im Desktop Window Manager entdeckt [14.04.2021]

Während der Analyse eines bekannten Exploits der APT-Gruppe BITTER entdeckten Sicherheitsforscher von Kaspersky eine Zero-Day-Schwachstelle im Desktop Window Manager. Dadurch sei eine beliebige Code-Ausführung seitens Cyberkriminellen auf dem Computer eines Opfers möglich. [mehr]

Tipps & Tools

Vorschau Mai 2021: Hybrid Cloud [14.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Monitoring, Backup und Recovery in virtualisierten Umgebungen (1) [9.04.2021]

Beim Betrieb einer Virtualisierungsinfrastruktur müssen IT-Verantwortliche auch dafür sorgen, dass die Umgebung verfügbar ist und im Fehlerfall schnell und ohne Datenverluste wieder anläuft. Hier kommen Monitoring, Backup, Ausfallsicherheit und Desaster-Recovery-Strategien ins Spiel. Im ersten Teil unseres Fachartikels beschäftigen wir uns mit der Ausfallsicherheit von Servern, der Hochverfügbarkeit von Storage-Systemen und der Redundanz im Netzwerk. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen