Gefahren durch URL-Shortener - jetzt in Spam-Mails

URL-Shortener sind aus Sicht eines aufmerksamen Nutzers, der seinen PC virenfrei halten will, höchst problematisch. Es ergibt sich ein ernsthaftes Sicherheitsproblem, weil diese URLs völlig verbergen, wohin sie wirklich führen. Anders gesagt: Wenn Sie auf einer gekürzten URL starten, wissen Sie nie, wo Sie am Ende landen. Zugegeben: bei langen URLs wissen Sie das auch nicht immer, aber kurze URLs machen es noch schwieriger, Freund von Feind zu unterscheiden.

Es könnte sich handeln um:

• eine vorgeschaltete Werbeseite, mit der derzeit immer mehr Short-URL-Dienste Geld verdienen wollen
• eine gerade noch harmlose Scherz-Seite wie https://bit.ly/bqurbP, deren Link jeder hier erzeugen kann, und dessen Aufruf durch eine andere Person Ihnen Information darüber zukommen lässt, welche Seiten der Aufrufende unter anderem betrachtet hat (intendiert oder verlockt durch Kurz-URLs)
• eine Malware-Website, deren bloßer Aufruf reicht, um Ihren Rechner zu infizieren
• eine Raubkopien-Website, die sofort einen aktuellen Kino-Film startet, was eine rechtliche Grauzone darstellt, anders als
• eine Kinderporno-Website, bei der Sie mit dem Aufruf alleine bereits zum Straftäter geworden sind, also durch das Klicken auf eine URL.

Auch Spams tarnen sich jetzt mit dieser Technik:

Spam-Mail mit Short-URL von bit.ly

Hier gilt dasselbe wie bei URLs in Twitter.

Hinzu kommt: Dadurch, dass der Link auf die Seite ein bit.ly-Link ist, kann der Spamfilter nicht mehr erkennen, dass er auf eine Werbeseite, oder, was schlimmer wäre, auf eine Phishing- oder Malware-Seite zeigt. Es ist selbstverständlich nur eine Frage der Zeit, bis Mailprogramme direkt, oder indirekt ihre Add-ons und Spamfilter diese Short-URLs über entsprechende API-Calls aufdröseln. Das aber wird die Spam-Analyse verzögern und die Belastung der Shortener-Dienste rapide erhöhen. Man wird sehen, wie's kommt.

Erweiterungen gegen kurze und für lange URLs

Naturgemäß bilden sich angesichts des Problems Dienste, um dem entgegenzutreten: longurl.org https://longurl.org wandelt lange in kurze URLs um. Funktioniert einwandfrei, muss aber halt manuell aufgerufen werden. Geplant ist sichtlich ein visuelles Vorschau-Feature.

Anti-Short-URL für Thunderbird

TheRealURL https://addons.mozilla.org/de/firefox/addon/60152?src=api arbeitet leider nicht so vollautomatisch wie das Firefox-Add-on 'Long URL Please' (siehe unten), aber besser als nix.
Anwendung: Sie klicken die Short-URL mit der rechten Maustaste an und wählen im Menü "Get The Real URL" (siehe Bild rechts).
Mit etwas Glück kriegen Sie dann in der Statusleiste angezeigt, wohin der Link führt, teils sogar mit einem Hinweis, im folgenden Screen der Statuszeile hat sich der Spammer bereits wieder verkrümelt:

Mehr Thunderbird-Erweiterungen habe ich leider nicht gefunden. Vorschläge gerne als Kommentar!

Anti-Short-URL für Firefox

Long URL Please https://addons.mozilla.org/de/firefox/addon/9549 ersetzt kurze URLs automatisch durch lange. Wenn Sie das Ergebnis nicht sehen, stellen Sie in den Einstellungen das Add-on um wie rechts gezeigt. Wenn es funktioniert, sehen Sie z.B. auf dieser Seite keine einzige Short-URL mehr. VORSICHT: Wenn Sie selber welche verwenden, etwa mit WordPress bloggen, dann verwandelt das Ding Ihre Short-URLs beim Bearbeiten zu langen und diese werden dann auch so gespeichert. (ARGH! Das ist mir soeben passiert.)

CoolPreviews https://addons.mozilla.org/de/firefox/addon/2207/?src=api
erlaubt es Ihnen, mit einem kleinen Knopf neben jedem Link eine Vorschau der Website anzusehen. Reißt es bei kurzen URLs nicht wirklich raus, ist aber eher nett als wirklich sicher.

Auf https://addons.mozilla.org/de/firefox/search/?q=long+url&cat=all finden Sie weitere Add-ons für Firefox.

Sicherheitshinweise

Naturgemäß erhöhen Add-ons, Plugins und Erweiterungen die Zahl der Sicherheitslücken in Firefox.

Auch kann niemand garantieren, dass die genannten Erweiterungen nicht Spionage betreiben und die langen URLs nicht ihrerseits Fake sind. Es gilt:

Life Sucks... And Then You Die!

Hintergrund: Kurze URLs

Ein URL-Shortener oder URL-Verkürzungsdienst arbeitet nach folgendem Prinzip:

• Sie haben eine Webadresse (URL), die (für Twitter) viel zu lang ist, zum Beispiel https://unsicherheitsblog.de/warum-url-shortener-gefaehrlich-sind/
• Sie gehen damit zu einem Verkürzungsdienst wie bit.ly, pfeffern die lange URL rein und kriegen diese kurze: https://bit.ly/9cGrsT.
• Wer auf die kurze URL klickt, wird umgeleitet zur langen URL.

bit.ly ist derzeit en vogue, ich persönlich mag TinyURL.com am liebsten. Zum einen haben Sie bei TinyURL.com die Möglichkeit, die kurze URL in Grenzen selbst zu bestimmen. So habe ich mir dort die https://tinyurl.com/short-url-danger verpasst. Zum anderen bietet er die Möglichkeit, dem User gleich eine Preview in die Hand zu geben, zum Beispiel https://preview.tinyurl.com/short-url-danger, was natürlich niemand nutzt, auch ich nicht. Aber wer auf TinyURL.com sein Cookie ändert (das geht hier), kann das Preview dauerhaft als automatisch für alle URLs einstellen. Das alles geht sicher auch bei einigen anderen Diensten, aber eben nicht bei allen. Und wer sieht einer URL wie klickhe.re schon an, zu welcher Sorte sie gehört? (Andererseits: Normalen langen URLs wie www.ebay-passwortservice.de sähe der Durchschnittsuser bei einer Phishing-Mail auch nicht an, was dahinter steckt... ich will hier also keineswegs URL-Shortener generell verdammen.)

Wen's interessiert:

• Mit https://yourls.org/ können Sie Ihren eigenen Shortener-Service hochziehen oder ihr WordPress damit erweitern. Vielleicht mache ich das sogar. Andererseits: Wer würde schon auf unsicherheitsblog.de/65&$% klicken? ;-)
• Der Dienst nsfw.in bietet so was ähnliches wie anonym.to und bietet eine Zwischenstufe, um auf Seiten zu linken, die "not safe for work" sind. Die "pikante" URL ist nicht sichtbar, zunächst, und der Empfänger hat die Chance, den echten Link zu sehen, ehe er draufklickt. Ich finde das mal sinnvoll.
• Einige interessante Aspekte zur Sicherheitsproblematik von Short-URLs nennt Martin Seiberts Blog.
• Erstaunlich erschöpfende Auskunft über alle möglichen URL-Shortener bietet jhmjacob auf seinem Blog. Tipp! Dort kann man auch sehr schön sehen, dass das schnelle Hochpoppen und Ausaltern dieser Dienste ebenfalls ein Problem ist.
• Eine enorme Liste listet https://freeware.blog.de
• Auf einen Test mit 9 URL-Shortenern verweist T3N leider ohne nennenswerte Eigenleistung
• Erschlagend auch der englischsprachige Beitrag Which Shortening Service Should You Use?

Obskure URL-Shortener

Wer immer noch nicht abgesprungen ist:

• Wer lieber eine Lang-URL haben will: hugeurl.com macht aus normalen seitenlange URLs ;-) und dickensurl.com verwendet dazu Dickens-Zitate

• tinyarro.ws macht extrem kurze Short-URLs - dank Unicode-Domainnamen: https://➡.ws/short-urls

• Wer nach einer "Short"-URL sucht, die bewusst 'cyberkriminell' aussieht: shadyurl.com verwandelt harmlose in verdächtige URLs... damit die Verwirrung perfekt ist! ;-) Scareware.de wird darin zu https://5z8.info/56-DEPLOY-TROJAN-287.mw9----_q5r4b_turkeyporn

• Wem das noch nicht absurd genug ist: icanhaz.com erlaubt URLs wie https://icanhaz.com/scarewarez oh Mann is das blöd...