Sicherheit
Spammer missbrauchen gekürzte .gov-URLs
von
Thorsten
Eggeling - 25.10.2012
URL-Kürzungsdienste (Shortener) sind nicht ungefährlich, weil Sie die tatsächliche Internet-Adresse verbergen. Spammern ist es jetzt gelungen, die Kurzadressen von US-Regierungs-Domains zu missbrauchen.
Die Top-Level-Domain .gov kennzeichnet Internet-Angebote der US-Regierung. Das Weiße Haus ist beispielsweise über die Adresse www.whitehouse.gov zu erreichen. Für viele US-Bürger aber auch internationale Nutzer steht die Endung .gov daher für Seiten mit vertrauenswürdigen Informationen offizieller Regierungsstellen.
Für die Nutzung in sozialen Netzwerken wie Twitter oder Facebook sowie in E-Mails sind lange URLs eher ungeeignet. Deshalb hat das offizielle Web-Portal der US-Regierung, USA.gov, zwei URL-Kürzungsdienste eingerichtet. Wer eine gültige E-Mail-Adresse der Regierung besitzt, kann Go.USA.gov verwenden. 1.USA.gov steht dagegen für jedermann zur Verfügung, der über bitly.com eine Adresse abkürzen will, die auf .gov oder .mil endet. Das Weiße Haus beispielsweise ist dann auch über http://1.usa.gov/14XDw erreichbar. In der Information auf www.howto.gov heißt es: “Eine Kurz-URL kann Nutzer zu einer vertrauenswürdigen Site oder zu einer Spam-Site führen. Aber ein Nutzer kann das nicht erkennen, bevor er auf einen Link klickt. Darum hat USA.gov es für die Nutzer einfacher gemacht, kurze und vertrauenswürdige URLs zu erstellen, die nur auf Seiten mit Informationen der US-Regierung führen.“
Wie Symantec berichtet, haben Spammer jetzt allerdings einen Weg gefunden, 1.usa.gov-Adressen für ihre Zwecke zu missbrauchen. Dafür haben sie unsicher konfigurierte Server von Regierungs-Angeboten genutzt, etwa www.healthandwelfare.idaho.gov oder labor.vermont.gov. Auf diesen Servern ließ sich eine Umleitungsfunktion für die Weiterleitung auf andere Websites nutzen (open redirect vulnerability). Wenn der Empfänger einer Phishing-E-Mail auf einen vermeintlich sicheren 1.usa.gov-Link klickt, landet er beispielweise auf angeblich regierungsgestützten Webseiten, die schnelle Wege zu mehr Geld versprechen. Dass die Spammer damit Erfolg hatten, beweist die Bitly-Statistik für den Zeitraum vom 12. bis 18. Oktober 2012. Demnach haben mehr als 40.000 E-Mail-Empfänger die Links angeklickt. Laut Symnatec wäre über diese Schwachstellen technisch sogar die Verbreitung von Schadcode möglich gewesen. Allerdings gibt es bisher keinerlei Hinweis, das dies praktiziert wurde.
Bitly hat inzwischen reagiert und 1.usa.gov-Adressen entfernt, die Open-Redirect-Lücken ausnutzen. Links zu den betroffenen Regierungs-Sites werden jetzt nur noch mit bit.ly-Adressen abgekürzt. Die Sicherheitslücken wurden bisher aber wohl noch nicht auf allen Servern beseitigt.
Ähnliche Sicherheitslücken sind wahrscheinlich auf bei deutschen Internet-Präsenzen zu finden. Sie sollten daher bei allen Links in E-Mails vorsichtig sein, auch wenn diese vermeintlich auf sichere und bekannte Web-Adressen verweisen.
