Links im Tarnkleid
Der Link soll zu Heise führen, aber dann landet der Nutzer woanders. Der "Mouse-Over"-Test enttarnt die Umleitung nicht. auch ein Blick in den Quellcode hilft nicht gleich weiter. Links lassen sich so manipulieren, dass es im Zweifel zu spät auffällt.
Mit JavaScript lassen sich Links so manipulieren, dass selbst aufmerksame Nutzer davon nichts bemerken. Angreifer können auf diese Weise Links korrumpieren und Nutzer auf Seiten lotsen, die sie eigentlich nicht besuchen wollen. Blogger und Entwickler Bilawal Hameed, der die Lücke gefunden hat, bezeichnet sie als ein neues Werkzeug für Phisher.
Um dem Betrug auf die Schliche zu kommen, hilft auch der "Mouse-Over"-Test nicht, denn der im Quelltext mit <a href="http://heise.de"> vermeintliche Link wird beim Mouse-Over weiterhin angezeigt. Klickt ein Nutzer allerdings auf den Link, wird ein "onclick"-Event aktiv und leitet den Nutzer mittels JavaScript zu einer anderen URL weiter.
Nur ein paar Zeilen Code reichen für den Betrug aus.
var links = document.links;
for(i in links) {
links[i].onclick = function(){
this.href = 'http://bit.ly/141nisR';
};
}
Das Script lässt sich kinderleicht einbetten. Der Blogger hat deshalb unter anderem Mozilla über seine Funde informiert, aber bisher noch keine Rückmeldung erhalten. Google soll sich – laut einiger Netzgerüchte – schon um einen Fix kümmern. Hameed schlägt vor, dass Nutzer gewarnt werden sollten, wenn ein Link plötzlich zu einer anderen Domain verweist, wenn auf ihn geklickt wurde.
So lange die Schwachstelle nicht beseitigt ist, sollten Nutzer darauf achten, ob sie tatsächlich auf der Domain landen, die ihnen rund um einen Link oder durch die Link-Bezeichnung angepriesen wird.
Die simpelste Lösung, die Blogger Hameed vorgeschlagen hat, lautet wie folgt: Vielleicht wäre es eine Alternative, wenn URLs, in ihrer ganzen Länge und Breite, ohne "Maskierung" und Link-Funktion veröffentlicht würden. Das wäre dann vielleicht nicht mehr so komfortabel (URL, Copy & Paste, Eingabe), aber sicherer allemal.
Den Vorschlag hat Hameed – weil er vielleicht auch nicht ganz ernst gemeint war – wieder zurückgezogen.
(kbe)