Das bedrohliche Potenzial des @-Zeichens in URLs
Was ist URL-Hijacking?
Die Rolle des @-Zeichens in einer URL
Eine weitere Methode des URL-Hijacking ist das Einfügen eines @-Zeichens in einer URL. Dieses Zeichen wird normalerweise verwendet, um den Benutzernamen und das Passwort in einer URL anzugeben, sofern die Website eine Authentifizierung erfordert. Die Syntax einer authentifizierungsgeschützten URL sieht in der Regel wie folgt aus:
https://benutzername:passwort@beispielwebsite.com
In diesem Beispiel wird der Benutzername “benutzername” und das zugehörige Passwort “passwort” angegeben, um sich bei der Webseite https://beispielwebseite.com anzumelden.
Das @-Zeichen als Werkzeug des URL-Hijacking
Die Angreifer nutzen die Tatsache aus, dass die meisten Benutzer die URL nicht genau überprüfen. Sie platzieren das @-Zeichen vor der der eigentlichen Zieladresse, um den Eindruck zu erwecken, dass die URL zu einer vertrauenswürdigen Website gehört. Angenommen, es gibt eine legitime Website mit der URL https://beispielwebsite.com. Ein Angreifer möchte jedoch Benutzer auf seine betrügerische Website umleiten. Um dies zu erreichen, manipuliert er die URL, indem er das @-Zeichen verwendet. Die URL sieht dann folgendermaßen aus:
https://beispielwebsite.com:aadzXIgZWluIHN0ZX@betrügerische-seite.com
Sie erweckt den Eindruck, dass der Benutzer auf die https://beispielwebsite.com geleitet wird, tatsächlich lautet die Zieladresse aber https://betrügerische-seite.com. Die https://beispielwebsite.com wird demnach als Benutzername und Passwort angesehen. Der Rest der URL wird als Teil der Zieladresse betrachtet.
Verschlüsselte URLs und ihre Täuschungskraft
Der Angreifer kann eine Zeichenfolge mithilfe der UTF8 in Hexadezimal konvertieren und sie an eine beliebige URL anhängen. Dadurch wird die URL unverständlich und kann bei oberflächlicher Betrachtung harmlos erscheinen. Ein Beispiel wäre:
https://beispielwebsite.com@%A0%C7%21%B2%B5%64%A0%D1%C0%B8%
In Desktop-Webbrowsern kann man durch das Hovern über eine solche URL mit der Maus automatisch eine Vorschau in entschlüsselter Form sehen. Diese liefert genauere Informationen über das Risiko. Allerdings trifft das nicht auf mobile Browser oder E-Mail-Clients wie Outlook zu, die die verschlüsselte Variante anzeigen. In Fällen, in denen keine Hinweise auf eine mögliche Schadhaftigkeit des Links bestehen, ist die Wahrscheinlichkeit, dass jemand daraufklickt, deutlich höher.
Wachsam bleiben und Gefahren im Blick behalten
URL-Hijacking ist eine ausgeklügelte Methode, die von Cyberkriminellen eingesetzt wird, um Nutzer zu täuschen und auf betrügerische Websites zu locken. Durch das geschickte Einsetzen des @-Zeichens in einer URL können Angreifer den Eindruck erwecken, dass die URL zu einer vertrauenswürdigen Website gehört, obwohl sie tatsächlich auf eine betrügerische Seite führt. Diese Technik kann besonders gefährlich sein, da viele Benutzer die URL nicht genau überprüfen und die manipulierten Links harmlos erscheinen. Die Verwendung von verschlüsselten Zeichenfolgen in der URL verstärkt die Täuschungskraft weiter, da sie bei oberflächlicher Betrachtung unverständlich wirken. Es ist daher wichtig, stets wachsam zu sein, verdächtige URLs zu überprüfen und sich bewusst zu machen, dass Betrüger immer neue Wege finden, um ihre Opfer zu täuschen und zu schädigen.
Sicherheitsbewusstsein stärken
Sicherheitsbewusstsein ist der Schlüssel, um sich vor den Gefahren des URL-Hijackings und anderen Betrugsmethoden zu schützen. Indem Sie Ihr Wissen über Online-Bedrohungen erweitern und lernen, verdächtige URLs zu erkennen, können Sie Ihre persönlichen Daten und Unternehmensdaten besser sichern. Ein effektiver Weg, um Ihr Sicherheitsbewusstsein zu stärken, ist das Security Awareness Training mit Phishing-Simulationen. Unsere maßgeschneiderten Schulungen helfen Ihnen und Ihrem Team, die neuesten Bedrohungen zu verstehen und angemessen darauf zu reagieren. Erfahren Sie mehr über Security Awareness Training und Phishing-Simulationen in den folgenden Beiträgen:
- Security Awareness Training: Entdecken Sie die Bedeutung von Sicherheitsschulungen und Phishing-Simulationen, um das Sicherheitsniveau in Ihrem Unternehmen zu stärken. Klicken Sie hier, um weitere Informationen zu erhalten.
- Success Story: Security Awareness Training: Lesen Sie, wie andere Unternehmen von unserem Security Awareness Training profitiert haben und ihre Mitarbeiter erfolgreich gegen Phishing-Angriffe geschult wurden. Klicken Sie hier, um die Success Story zu lesen.