Werbung
Nach und nach wurden und werden immer mehr Domain-Endungen neu genehmigt und können von Interessenten dann kostenpflichtig erworben werden. Brandneu ist nun auch die .zip-Domain, die von Google nun eingeführt wurde und gerade für Hacker mit böswilligen Absichten ein Segen ist, denn mit der .zip-Domain lassen sich vermeintlich sichere URLs derartig anpassen und hinterlegen, dass diese nicht zu einem gewünschten Zip-Download führen, sondern den Nutzer stattdessen auf eine Zip-Domain weiterleiten.
Der hauptsächliche Unterschied, der in dieser veränderten URL zu erkennen ist, ist das @-Zeichen, das in einer URL heutzutage nicht mehr benötigt wird. In (weit) früheren Zeiten wurde das @-Zeichen in der URL dazu verwendet, um sich mit einem Benutzernamen und Passwort auf einer Webseite einloggen zu können. Wie im Beispiel des Videos:
- http(s)://username:password[at]google.com
- https://bing.com[at]google.com
Das @-Zeichen haben wir in den gezeigten URLs sicherheitshalber jeweils als [at] geschrieben. Die untere URL leitet einen dennoch auf google.com, jedoch sieht der Google-Server, dass sich der User mit dem Benutzernamen "bing.com" auf der Seite anmelden möchte. Anders sieht es hingegen mit folgender URL aus:
- https://google.com/search[at]bing.com
In diesem Fall sorgt diese URL für den bekannten 404-Error. Allerdings zumindest solange, sofern an dem Link nichts mehr verändert wird. Und daher kommen wir nun zu dem Kernproblem, das gerade für Laien mit wenigen Web-Kenntnissen ein großes Problem darstellt. Und gerade diese Anwender sind nun einmal das Ziel der Hacker.
Die Achillesferse ist hierbei der bekannte Schrägstrich (Slash), der den Unicode-Code "002Fb" trägt. In ähnlicher Form gibt es allerdings auch noch den Bruchstrich mit dem Code 2044 sowie den Divisionsstrich, der den Code 2215 inne hat. Wird nun also bei der URL...
- https://google.com/search[at]bing.com
...der Schrägstrich zwischen "google.com" und "search" gegen den Divisionsstrich ausgetauscht, erfolgt nach dessen Ausführung eine Weiterleitung zu bing.com. Um nun wieder auf die .zip.Domains zurückzukommen, wurde im Video eine dieser veränderten URLs gezeigt, die vermeintlich zu einem zip-Download auf Github führen soll:
- https//github.com/kubernetes/kubernetes/archives/refs/tags/[at]v1.27.1.zip
Alle Schrägstriche nach "github.com" wurden durch den Divisionsstrich ersetzt. In diesem Fall gilt "github.com" als Benutzername und wird auf die Webseite "v1.27.1.zip" weitergeleitet. Dabei ist "1.zip" die Second-Level- und Top-Level-Domain und alles davor (v1.27) sind Third-Level-Domains. Summiert soll die schadhafte URL als verschleierter Download-Link für die Version 1.27.1 von Kubernetes fungieren. In Wahrheit ist der Hacker auf der weitergeleiteten Webseite auf die Daten der Besucher aus (Phishing) oder aber es wird schadhafter Code heruntergeladen und ausgeführt.
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen Sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Ihr Hardwareluxx-Team
Youtube Videos ab jetzt direkt anzeigen
Mögliche Gegenmaßnahmen
Manche Internet-Anwender mögen sich nun die Frage stellen, wie man sich am besten vor solchen URLs schützen kann. Zunächst einmal sollte man generell mit klarem Kopf im Internet unterwegs sein und nicht einfach wahrlos jeden Link anklicken. Zwar können die vermeintlich korrekten Schrägstriche noch leicht übersehen werden, doch besonders auffällig ist hierbei das @-Zeichen. Eine andere Alternative wäre, die .zip-Domains im eigenen Router (sofern möglich) zu sperren. Dies ist beispielsweise mit PiHole und AdGuard, aber auch mit PfSense und OPNsense möglich.