Gefälschte URLs im Internet Explorer [Update]
Ein unscheinbarer Fehler des Microsoft-Browsers erleichtert Betrügereien mit gefälschten E-Mails. Der Internet Explorer zeigt URLs in seiner Adressleiste unter Umständen nicht vollständig an.
Ein unscheinbarer Fehler des Microsoft-Browsers erleichtert Betrügereien mit gefälschten E-Mails. Der Internet Explorer zeigt URLs in seiner Adressleiste unter Umständen nicht vollständig an, wenn der optionale Benutzername das Zeichen 0x01 enthält. Trickbetrüger nutzen bereits seit einiger Zeit die Möglichkeit, Benutzern eine vertraute URL vorzuspiegeln, indem sie Konstrukte wie http://register.ebay.com@192.168.1.1 verwenden.
Diese URL verweist nicht etwa auf eine eBay-Seite, sondern lädt die Startseite von 192.168.1.1, die dann alle Eingaben des Anwenders mitprotokollieren kann. Wer genau hinschaut, kann den Betrug jedoch an der URL in der Adressleiste erkennen. Der Fehler im Internet Explorer macht solche Betrügereien noch heimtückischer, denn der Benutzer sieht damit unter Umständen nur noch den harmlosen Teil der URL vor dem "@": http://register.ebay.com
Der Fehler tritt bei Internet Explorer 6 mit allen Patches auf, Berichten auf der Mailingliste Bugtraq zufolge sind auch manche 5er Versionen betroffen. Andere Browser zeigen die URL korrekt an. Microsoft hat angekündigt, diesen Monat keine regulären Sicherheits-Updates mehr bereitzustellen, ob ihnen diese Schwachstelle und die anderen bekannten Sicherheitsprobleme des Internet Explorer ein Emergency-Release außerhalb der monatlichen Routine wert sind, ist bisher nicht bekannt. Ob Ihr Browser betroffen ist, können Sie auf dem c't Browsercheck von heise Security testen.
Update:
Entgegen ersten Vermutungen lässt sich die Lücke auch ganz ohne JavaScript ausnutzen. Das bedeutet, dass selbst bei hohen Sicherheitseinstellungen des E-Mail-Programms ein Klick auf einen HTML-Link zu einer Seite führen kann, deren Adresse der Internet Explorer nicht korrekt anzeigt. Die Browsercheck-Demo wurde um eine Variante ohne JavaScript erweitert.
Siehe dazu auch: (ju)
