Spammer nutzen obskures Sonderzeichen zur URL-Verschleierung

**Annika_Kremer** · 08. 10. 2010, 11:19

Spammer haben offenbar einen neuen Trick entwickelt, um bösartige URLs zu verschleiern: Sie benutzen ein relativ unbekanntes Sonderzeichen, das von den meisten Browsern ignoriert wird. Spam mit derartigen URLs ist bereits in größerer Menge im Umlauf. Davor warnen Experten der IT-Sicherheitsfirma Symantec.

zur News

**lavalampe** · 08. 10. 2010, 11:30

Mag einen, am besten harmlosen Bsp. Link haben

**Legodev** · 08. 10. 2010, 12:25

Mich würde auch ein Link inklusive seiner ordentlich escapten Version interessieren

**dragon_killer** · 08. 10. 2010, 12:28

Beispiel wäre dann doch zum Beispiel:
www.pay*pal.de

würde dann genauso aussehen wie www.paypal.de

// EDIT: Und das tut es auch. Schaut euch von der URL oben mal den Link an.

**BluePeer** · 08. 10. 2010, 12:34

wofür braucht ihr da nen beispiel link ?

es geht darum das filter zb http://www.myfreevirus.com/screenvirus.scr als gefährlich markieren und daher blockieren

im quelltext steht jetzt aber

http://www.my&shyfree&shyvi&shyru&sh...shys&shyc&shyr

und angezeigt und beim draufklicken aufgerufen wird aber

http://www.myfreevirus.com/screenvirus.scr

da die render engine die zeichen ignoriert

sprich der filter erkennt den wilden zeichen müll als vieleicht kurrios aber nicht als gefährlich oder als "dead link" weils ja nicht existiert und ignoriert es

der browser der die zeichen aber ignoriert verlinkt dadurch auf die zb gefährliche seite

da hier html codes geblockt werden seht seht ihr hier die &shy

Lg
BluePeer

**Fisur** · 08. 10. 2010, 12:36

Mit Opera klappts nicht. Zumindest die Bsp. hier.

**MSX** · 08. 10. 2010, 12:36

Nicht schlecht. Wer da wohl wie darauf gekommen ist... :-D

**Legodev** · 08. 10. 2010, 12:54

Zitat von BluePeer

wofür braucht ihr da nen beispiel link ?

es geht darum das filter zb http://www.myfreevirus.com/screenvirus.scr als gefährlich markieren und daher blockieren

im quelltext steht jetzt aber

http://www.my&shyfree&shyvi&shyru&sh...shys&shyc&shyr

Es ist schon klar, das es so aussieht, nur trotzdem wäre nen richtiges Beispiel in der News cool zu gewesen. Wobei mir klar ist, das man es sich schnell in ner html datei selber basteln könnte.

**Niyo335** · 08. 10. 2010, 13:15

checke das iwie nicht :O
habe den Beispiel link ausprobiert und es funzt iwie auf keinem meiner Browser (IE, Chrome, Firefox)

**withmorten** · 08. 10. 2010, 13:46

Code:

<a href="http://w*w*w.gulli.*com">gulli.com</a>

Das in ne html kopieren und staunen

edit:
toll ... klappt nicht xD

dann eben so

http://morten.with.de/links.html

**BluePeer** · 08. 10. 2010, 14:27

das war auch kein copy&paste beispiel sondern nur der gedanke dahinter

man solte schon etwas von html verstehen um es umzusetzen

withmorten hats verstanden und richtig gemacht

und wer mein beispiel nicht verstanden hat und es kopieren muss solte es lieber nicht machen um sich nen vorteil zu verschaffen weil ihr dann garantiert zu 99.99% erwischt werdet weil ihr 0 Plan von der materie habt ^^

nen virus oder bug zu kopieren ist easy sich nicht erwischen zu lassen ist ne ganz andere sache

denn wer damit auch nur ansatzweise etwas nicht legales macht (was ist mal egal) fällt leicht unter den computer spionage paragrafen und mit dem ist nicht zu spaßen

also lasst es lieber sein für die , die jetzt dran denken was damit anzustellen die es vorher nicht verstanden hatten ihr handelt euch damit nur 10x mehr ärger ein als es euch was bringen könnte

Lg
BluePeer

**SanitysDownfall** · 08. 10. 2010, 14:55

Dann ist offenbar endlich Schluss mit Links in Emails wie http://eu.battle.net/de/, wo man seine Accdaten eingeben soll... Ich frag mich immer, wer auf sowas reinfallen soll oO.

**Farzi** · 08. 10. 2010, 15:25

Zitat von withmorten

dann eben so

http://morten.with.de/links.html

Gut, im Quelltext stehts mit bedingten Bindestrichen. Aber mein Opera zeigts mir nicht nur ohne Bindestriche an, sondern lädt die URL auch ohne Bindestriche, wenn ich draufklicke - so what?!

**Dexter** · 08. 10. 2010, 15:30

Der eigentliche Zweck dieses Sonderzeichens ist es, Zeilenumbrüche innerhalb eines Wortes zu kennzeichnen. Die meisten Webbrowser allerdings, darunter auch Mozilla Firefox, ignorieren den weichen Bindestrich.

So wie das da im Zusammenhang steht ist es falsch. Richtig sollte es heissen: "... in URLs"

**Alumicard** · 08. 10. 2010, 17:01

Zitat von Farzi

Gut, im Quelltext stehts mit bedingten Bindestrichen. Aber mein Opera zeigts mir nicht nur ohne Bindestriche an, sondern lädt die URL auch ohne Bindestriche, wenn ich draufklicke - so what?!

genau das ist ja das Problem, sofern ich es richtig verstanden habe.
Angenommen du betreibst eine Seite mit nem Virus oder was auch immer drauf und willst das Leute diese besuchen bzw. verschickst Mails. Da diese Seit bereits bekannt ist wird sie von Filtern gesperrt bzw. du wirst drauf hingewiesen das es sich um schädlichen Ursprung handelt.

Angenommen www.gulli.com wäre in einem Filter als schädlich drin. Böses gulli!

Dann würde in withMortens Link

w& shy;ww.gul& shy;li.& shy;& shy;com

nicht als die gefilterte url erkannt und würde als ungefährlich angezeigt.Vielleicht motzt der Filter über die shys und meint "fragwürde Seite" aber mehr auch nicht.
Ok, man könnte alle möglichen Varianten der url mit shys blocken aber an dem Beispiel gut zusehn, danke withMorten, kann man auch mehrere shys aneinander hängen

.& shy;& shy;com

Also wird es mMn recht schwer alle Möglichkeiten zu filtern und somit entsteht ein Risiko.

Falls ich was falsch verstanden habe korrigiert mich bitte.

Anmerkung: Leerzeichen zwischen & und shy dienen der Darstellung und sind in seinem link nicht vorhanden.

**patit** · 08. 10. 2010, 18:02

Mit dieser Methode lassen sich nicht nur URLs maskieren, sondern natürlich ebenso auch der komplette Content der Mail. So kann bei Maskierung von relevanten Stop Words wie Casino, Viagra oder Sex (C& shy;as& shy;ino, V& shy;ia& shy;gra, Se& shy;x) auch der Spam-Filter umgangen werden.

Das wird in der News falsch dargestellt.

**LoL-O_Mat** · 08. 10. 2010, 19:46

BTW wird der weiche Bindestrich nicht ignoriert, sondern von allen modernen Browsern unterstützt. Es ist schlichtweg der Sinn davon, dass er in der Zeile nicht sichtbar ist.

**Farzi** · 08. 10. 2010, 20:43

Heute sind doch Bayesian-SPAM-Filter Standard. Dagegen bringt die Softbindestrichmaskierung vermutlich gar nichts.
Und seit ich mal nen Tag alle Server konsequent geblockt habe, die mich mit blinkender, aufpoppender oder gar rumtönender Werbung nerven wollen, seh ich hier fast gar keine Werbung mehr - und das Forum lädt auch viel schneller.

**ADI64** · 12. 10. 2010, 16:22

Wer aufgefordert wird, einen Link zu seiner Onlinebankingseite zu klicken und das auch tut (weil es ja legit aussieht) und dann dort seine Bankdaten eingibt ohne die URL zu checken hat nichts gelernt.

Oder habe ich gerade eminent was verpasst?

**user1220** · 17. 10. 2010, 17:31

Also die Wortwahl im Artikel ist ein bisschen daneben. Das weiche Trennzeichen ist nicht "obskur", sondern hat seinen Sinn. Es ist nicht ungebräuchlich und durch das W3C dokumentiert und standardisiert. Keine Obskurität...

http://de.wikipedia.org/wiki/Weiches_Trennzeichen