Fachartikel

URL Obfuscation: Kein Link ohne Risiko

Der Browser ist die Schnittstelle des Nutzers ins WWW und vermutlich die am häufigsten genutzte Anwendung weltweit. Dass die Masse an Browser-Usern als potentielle Opfer auch Cyberkriminelle aller Couleur anzieht, ist naheliegend. Um ihre Absichten im Dunkeln zu lassen, ist es meist das erste Anliegen der Angreifer, halbseidene Links so gut wie möglich zu tarnen. Dieser Beitrag gibt einen Überblick über die Methoden der URL Obfuscation und erklärt, was Sie dagegen tun können.
Neue Technologien wie QR-Codes erhöhen das Risiko, über einen Link auf eine gefährdende Seite im Web zu gelangen
Erklärtes Ziel der Schattengestalten des Web ist es, Gewinn aus den WWW-Nutzern zu generieren. Dies geschieht über viele Wege – den Verkauf von Plagiaten, den Betrug mit Pharmazeutika oder den Diebstahl von virtuellen Identitäten. Bekannte Empfehlungen zum Schutz des Nutzers lauten, nur bekanntermaßen sichere Webseiten zu besuchen, in Web-Formularen keine Kontodaten oder TANs einzugeben und im Web nicht unbedingt jeden Link anzuklicken.

Manipulierte Links nur schwer erkennbar
Da das WWW ohne Mausklick aber nicht funktioniert, lassen erfahrene Anwender ihren Blick zumindest kurz über die Statuszeile des Browsers am unteren Bildschirmrand schweifen. Dort wird schon beim bloßen Überfahren des Links mit der Maus die komplette mit dem Link verknüpfte Adresse angezeigt. Verweist also in einem deutschen Online-Shop ein Link plötzlich nach Russland, werden nicht wenige Nutzervorsichtig und gehen (zu Recht) von einem Täuschungsversuch aus.

So hilfreich der Blick auf die Statuszeile sein mag – die Empfehlung, die Link-Zieladresse so zu überprüfen, ist längst wertlos geworden. Denn diese Anzeige zu manipulieren, stellt eine leichte Übung das. Ein wenig JavaScript, etwas Vertrauen auf die Gutgläubigkeit des Webseitenbesuchers und schon ist der Umweg zu den Cyberkriminellen vorprogrammiert – keine Hexerei, sondern einfaches Programmierhandwerk. Abhängig von den jeweiligen Sicherheitseinstellungen schlagen zwar manche Browser bei bestimmten Verschleierungsversuchen Alarm. Dies ist jedoch nicht immer der Fall und stellt deshalb keinen echten Schutz dar.

Gefährliche Ziele im QR-Code
Neben den kreativen Elementen der Cybercrime-Szene gibt es technische Neuerungen, die bestehende Empfehlungen ad absurdem führen. Bestes Beispiel dafür sind die immer häufiger genutzten QR-Codes (Quick Response). Dabei handelt es sich um die Variante eines Strichcodes, die bis zu 4.296 alphanumerische Zeichen enthalten kann. Über diese Grafiken lassen sich problemlos Links weitergeben. Dabei wird der Link im Muster codiert abgelegt. Über ein Smartphone lässt sich dann beispielsweise der in der Grafik enthaltenen Link auslesen und aufrufen. Die Security-Option, zuerst die Zieladresse des QR-Codes anzuzeigen, ist leider nicht in allen QR-Code-Lesern integriert.

Wird der QR-Code zudem nur als Image auf einer Webseite eingebunden, also ohne direkte Verlinkung, sind dem Nutzer die Hände gebunden, da er ohne Hilfsmittel keine QR-Codes lesen kann. Da QR-Codes eine steigende Tendenz zur missbräuchlichen Verwendung aufzeigen, hat Security-Experte Andreas Winterer in seinem Blog "scareware.de" zwei Texte [1, 2] zu den Gefahren von QR-Codes und grafischen Links veröffentlicht. Hier ist vor allem im Umfeld von mobilen Geräten entsprechende Vorsicht angeraten. Doch auch beim Surfen am Desktop lässt sich bei Nutzung eines URL-Verkürzers das eigentliche Ziel der Verknüpfung sehr einfach verschleiern.

Einfallstore URL-Verkürzung und JavaScript
Bei einer absichtlichen, kriminellen Verlinkung ist der Nutzer nicht mehr in der Lage, die Qualität eines Links zu beurteilen. Selbst ein Blick in den HTML-Code einer Webseite offenbart meistens nur dem erfahrenen Experten die Ziel-Adresse. Aber selbst Experten benötigen mitunter Zeit zur Analyse, denn nicht nur Links lassen sich verschleiern, sondern auch ganze Webseiten. Aus einem leserlichen HTML-Code wird dabei ein undurchschaubares Code-Monster. Aber sogar bei einer unbeabsichtigten Link-Obfuscation, die sich zum Beispiel durch Nutzung eines URL-Verkürzungsdienstes ergibt, bleibt der Anwender oft auf der Strecke. Denn die wenigsten überprüfen mit Services wie etwa "longurlplease.com" [3], wohin die Links wirklich führen oder nutzen ein Browser-Plugin, das dies automatisiert erledigt.

Auch die Empfehlung mancher Security-Experten, JavaScript im Browser zu deaktivieren und damit die Verschleierung zu erschweren, ergibt nicht unbedingt Sinn. Denn ohne JavaScript sind viele Webseiten nicht mehr nutzbar. Alternative Sprachen wie PHP oder PEARL, mit eine URL Obfuscation ebenso zu machen ist, wären davon nicht betroffen. Von weiteren Methoden wie zum Beispiel einer URL-Umleitung (Redirection) per Webserver-Konfigurationsdatei ganz zu schweigen.




                                                Seite 1 von 2                     Nächste Seite>>


6.08.2012/Ralph Dombach/ln

Nachrichten

Datenverschlüsselung für jeden Speicherort [20.08.2019]

DataLocker präsentiert im Zuge eines Relaunches die neue, nun zentral gemanagte Version von "SafeCrypt". Der Hersteller verspricht mit der Neuvorstellung die sichere Verschlüsselung von Daten auf lokalen und externen Laufwerken sowie in der Cloud. Als virtuelles Laufwerk ist SafeCrypt in der Lage, Daten direkt auf dem lokalen Rechner des Nutzers zu verschlüsseln. [mehr]

Zentrales Verschlüsselungswerkzeug [19.08.2019]

Mit dem neuen Tool "Panda Full Encryption" erweitert Panda Security seine Cybersicherheitssoftware "Adaptive Defense 360" um ein Modul zur Endpoint-Verschlüsselung. Zu der vollständigen Ver- und Entschlüsselung aller Laufwerke bietet es zudem die Verwaltung der Wiederherstellungsschlüssel sowie die Möglichkeit einer Datenanalyse zum Verschlüsselungsstatus. [mehr]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen