Trojanische Links in E-Mails

Ein Klick auf einen Hyperlink kann unter Umständen ein Programm starten, ohne dass dies dem Anwender bewusst wäre. Über speziell präparierte E-Mails könnten Angreifer versuchen, mit Hilfe der ahnungslosen Mailbenutzer Hintertüren auf deren Rechnern zu installieren oder Viren einzuschleusen.

Bennett Haselton von Peacefire.org schildert auf seinen Webseiten einen Weg, um Eudora-Anwender auszutricksen – es sind aber auch andere Mailprogramme verwundbar. Der Angreifer schickt eine E-Mail, die für das potenzielle Opfer scheinbar nur Text und einen Link ins WWW enthält. Tatsächlich kommen mit der Mail auch zwei Dateien auf den heimischen Rechner: Das auszuführende Programm und eine Windowsverknüpfung darauf.

Damit der Klick auf die vermeintliche Webseite dieses Programm startet, müssen aber eine Reihe von Designfehlern beziehungsweise -risiken vorhanden sein. Zunächst geht es dabei um die Interpretation des HTML-Links, statt in der Mail den Klartext zu zeigen: [file:///c/programme/eudora/attach/angriff.lnk http://www.harmlos.com] wird dann als klickbarer Link [file:////c/programme/eudora/attach/angriff.lnk http://www.harmlos.com] angezeigt, das eigentliche Ziel der URL damit verschleiert und nur in der Statuszeile dargestellt, solange der Mauszeiger über dem Link verharrt. Die wenigsten Anwender dürften jedoch regelmäßig das Ziel eines Links prüfen, bevor sie ihn anklicken.

Die Existenz der Attachments lässt sich bei Eudora durch HTML-Kommentare verbergen, sodass nur ein kleines Icon in der Mailübersicht darauf hinweist und die Nachricht ansonsten unverdächtig erscheint. Darüber hinaus muss der Angreifer im Voraus wissen, wo die Dateien aus dem Mailanhang gespeichert werden, damit die Verknüpfung auch wirklich auf das gewünschte Programm verweist – die meisten Nutzer dürften allerdings ihr Mailprogramm im Standardpfad installiert haben. Der letzte Haken ist das Öffnen des Attachments selbst: Eudora warnt zwar den Anwender beim Start einer ausführbaren Datei, nicht aber beim Start einer Verknüpfung. Alles in allem bewirkt der üblicherweise als ungefährlich angesehene Klick auf einen (vermeintlichen) Weblink damit den Start eines Programms, dem dann alles auf dem Rechner des Opfers offen steht.

Eudora-Hersteller Qualcomm empfiehlt den Anwendern in einem Security Advisory, die Warnmeldungen auch für Verknüpfungen (.lnk) zu aktivieren. Außer bei Eudora besteht das Link-Risiko im Prinzip bei jedem Mail-Programm, das Dateianhänge in einem vorhersehbaren Verzeichnis ablegt und ohne weitere Warnung über File-URLs Verknüpfungen oder ausführbare Programme startet. Damit sollten zumindest auch Anwender von "The Bat" künftig besonders auf Links in Mails achten. Pegasus, Netscape Messenger und Outlook Express sind hingegen nicht gefährdet, da diese Programme Attachments nur auf Wunsch als Datei ablegen. (nl)