it-swarm.com.de

Warum wird das Schweben über einem Link in einer E-Mail als sicher angesehen? Oder ist es schädlich?

Wir verwenden einen browserbasierten E-Mail-Client und der E-Mail-Inhalt ist in HTML.

Einer meiner Arbeitgeber sagte uns, wenn wir eine verdächtige E-Mail mit Links erhalten, müssen wir den Mauszeiger über den Link halten (um zu überprüfen, ob er nicht gefälscht ist), bevor wir darauf klicken. Wenn Sie den Mauszeiger über bewegen, wird eine Aktion ausgelöst, mit der der zugrunde liegende Link in der Statusleiste des Browsers angezeigt wird. Wäre jedoch jemand in der Lage, diese Aktion zu fälschen und zu versuchen, etwas Lustiges zu tun?

This ist ein ähnlicher Thread, der jedoch Miniaturansichten von Anhängen und keine Links in der E-Mail behandelt.

28
JOW

Einer meiner Arbeitgeber sagte uns, wenn wir eine verdächtige E-Mail mit Links erhalten, müssen wir den Mauszeiger über den Link bewegen (um zu überprüfen, ob er nicht gefälscht ist), bevor wir darauf klicken.

Wenn Sie mit der Maus über einen Link fahren, wird der Wert des Attributs href in der Statusleiste angezeigt. Da dies das Linkziel ist, kann es Ihnen eine Vorstellung davon geben, wohin der Link führt.

wäre jemand in der Lage, diese Aktion zu fälschen und zu versuchen, etwas Lustiges zu tun?

Im Allgemeinen ja. Das eigentliche Linkziel kann mit Javascript "gefälscht" werden: Es ist durchaus üblich, dass Websites den Wert href mit einem anderen Link austauschen, sobald der Benutzer darauf klickt. Sie können dies beispielsweise beim Besuch der Google-Suchergebnisse beobachten. Wenn Sie mit der Maus über einen der Links fahren, wird dieser als https://security.stackexchange.com/... Angezeigt. Sobald Sie jedoch darauf klicken , wird dieses Ereignis erfasst und Sie besuchen zuerst eine Zwischenwebsite (https://www.google.com/url?...), die Sie zum eigentlichen Ziel weiterleitet.

Ein gut gestalteter (webbasierter) Mail-Client führt jedoch keine JS in HTML-E-Mails aus. Aktiver Skriptinhalt in E-Mails ist gefährlich - nicht nur, weil er möglicherweise zu einem XSS-Fehler im E-Mail-Client führt, sondern auch, um JS-basierte Exploits für den Browser auszuführen oder den Absender darüber zu informieren, dass Sie den geöffnet haben Mail.

Wenn Ihr E-Mail-Client JS in E-Mails nicht zulässt - was höchstwahrscheinlich der Fall ist -, ist der beim Mouseover angezeigte Link tatsächlich das richtige Linkziel. Sie sollten sich jedoch anderer Versuche bewusst sein, Sie zu täuschen, z. B. Homograph-Angriffe oder eine zu lange URL, die die tatsächliche Zieldomäne verschleiert. Es ist nicht so einfach, eine URL in der Statusleiste zu analysieren, wie wenn man sie in der Adressleiste betrachtet. Bei einem fortgeschritteneren Angriff hätte der Angreifer möglicherweise auch zuvor eine legitime Site kompromittiert (z. B. durch einen anhaltenden XSS-Fehler), und Sie können anhand des Links überhaupt nicht erkennen, dass die Site jetzt tatsächlich gefährliche Inhalte hostet.

53
Arminius

Dies konnte nur mit JavaScript erreicht werden. Sie können den Link auf alles setzen und dann eine Onclick-Aktion schreiben, die den Benutzer an einen anderen Ort sendet:

<a href="http://example.com" onclick="window.location = 'http://www.google.com';return false;">click</a>

Wenn Sie jedoch zulassen, dass JavaScript von Ihrem browserbasierten E-Mail-Client ausgeführt wird, sind Sie anfällig für dauerhaftes XSS, was bedeutet, dass Sie größere Probleme haben.

Abgesehen davon wird es fast nie als Sicherheitsmechanismus funktionieren, den Benutzern zu sagen, dass sie [unbequeme Dinge] tun sollen. Eine bessere Lösung wäre, alle a -Tags zu entfernen und stattdessen den eigentlichen Link zu ersetzen.

11
tim