Kurz-URLs tricksen Browser-Sicherheit aus

[BuckFix]

Googles Safe Browsing zum Schutz vor Phishing- und Malwarewebseiten ist ein Werkzeug, das unter anderem Nutzern der Browser Chrome und Firefox mehr Sicherheit im Internet verspricht. Doch Cyberkriminelle haben Kurz-URL-Angebote wie TinyURL http://www.tinyurl.com als Methode entdeckt, um den von Safe Browsing gebotenen Schutz zu umgehen, so Moshe Basanchig, Security Researcher beim IT-Sicherheitsunternehmen Finjan http://www.finjan.com. Die Kurz-URLs nutzen nämlich den vertrauenswürdigen Domainnamen des jeweiligen Dienstes, leiten den User aber auf die eigentlich bösartige Webseite um. „Safe Browsing kann angepasst werden, um das Problem zu lösen“, meint Finjan-CTO Yuval Ben-Itzhak.

Werkzeuge wie TinyURL, bit.ly http://bit.ly, w3t.org http://w3t.org und andere dienen dazu, dauerhafte Kurz-URLs zu erstellen. Statt beispielsweise beim E-Mail-Versand mit einem langen, unhandlichen zu einer Webseite hantieren zu müssen, können User dann einfach die kompakte Zeichenkette verwenden. Um die von Googles Safe Browsing angezeigten Warnungen vor bekannt gefährlichen Webseiten zu umgehen, verpacken nun Cyberkriminelle ihre Links beispielsweise in eine TinyURL. „Das ist eine deutlich kürzere URL, welche die eigentliche, schädliche versteckt“, so Basanchig. Der kurze Link wird außerdem von Safe Browsing nicht als verdächtig eingestuft, da es Tausende ungefährliche Kurz-URLs gibt, die mit TinyURL erstellt wurden.

„Die Technik nutzt die Tatsache aus, dass Safe Browsing Sites nur auf der Domain-Ebene nutzt“, erklärt Basanchig. Einen Domainnamen zu nutzen, der immer als nicht-bösartig eingestuft wird, sorgt daher dafür, dass vor einer infizierten Webseite nicht gewarnt wird. Der sichtbare Link einer TinyURL verweist nun immer auf die Domain tinyurl.com, unabhängig davon, zu welcher Webseite danach umgeleitet wird. Analoges gilt auch für andere Kurz-URL-Dienste. Zwar glaubt man bei Finjan, dass Safe-Browsing so angepasst werden kann, dass es auch vor gefährlichen Kurz-URLs warnt. „Allerdings basiert Safe Browsing auf einem Feed bekannt bösartiger URLs. Was ist mit Safe Browsing unbekannten Links, davon gibt es viele“, meint jedoch Ben-Itzhak. Generell sieht man Black- oder Whitelists bei Finjan nicht als optimal an. „ Wir glauben, dass jede Webseite in Echtzeit inspiziert werden muss um festzustellen, ob sie bösartig ist“, sagt der Unternehmens-CTO. Finjan habe zwölf Jahre Erfahrung mit der Echtzeit-Contentanalyse.

Finjans Sicherheitsexperten haben neben missbräuchlichen TinyURLs auch gefährliche Kurz-URLs bei bit.ly gefunden. Die entdeckten bösartigen Links wurden Basanchig zufolge von den beiden Unternehmen bereits entfernt. Aber neue, gefährliche Kurz-URLs könnten jederzeit auftauchen. „Seien Sie sich dessen bewusst, wenn Sie auf solche Links klicken, wenn Sie sie empfangen. Stellen Sie sicher, dass Sie aktuellen und ausreichenden Web-Schutz eingerichtet haben“, mahnt daher der Finjan-Experte. (pte)