Offene Redirects spielen Spammern in die Hände

Die Experten von Dell SecureWorks und Symantec entdeckten eine Spam-Versendung, die eine URL mit einer Domain der höchsten Ebene nutzt, die von Regierungseinrichtungen der USA ausgegeben wird. Wie sich herausstellte, nutzen die Spammer offene Redirects auf Regierungs-Websites und den Kurzlinkdienst 1.USA.gov, der in Partnerschaft mit Bit.ly von der Regierung der USA gegründet wurde.

Der Text der Spam-Nachrichten enthält eine wenig informative Phrase, deren einziger Sinn darin besteht, die Empfänger dazu zu veranlassen, einen Kurzlink zu aktivieren, der den Namen 1.USA.gov verwendet. Der Kurzbeschreibung von 1.USA.gov nach zu urteilen, die auf dem offiziellen Portal der US-Regierung zu finden ist, wurde dieser Service zur Erleichterung der Abkürzungsprozedur von URLs aufgebaut, die z.B. zu den Zonen .gov und .mil gehören. Nun kann man eine Kurz-URL mit der Domain 1.USA.gov über bitly.com erhalten, indem man die Ausgangsadresse eingibt und den Button für die Verkürzung anklickt. Eine Registrierung ist dafür nicht notwendig, was sich Cyberkriminelle zunutze gemacht haben.

Die Existenz einer Sicherheitslücke, die es einer Webanwendung ermöglicht, eine Anfrage an eine Drittsite umzuleiten (ein so genannter offener Redirect), auf einer Reihe von Regierungswebsites erleichterte den Spammern die Sache zudem. Es reichte aus, in einen legitimen Link ein http-Parameter zu integrieren, der die Ziel-URL enthielt, ihn in das Format der Art

[http://]labor.vermont.gov/LinkClick.aspx?link=http://workforprofit.net/[REMOVED]/?wwvxo,

umzuwandeln, und daraufhin die lange Adresse über Bit.ly bis zu einem völlig unschuldigen wirkenden Äußeren zu verkürzen.

Die Seite, auf die durch die Spammer-URL verwiesen wird, kopiert eine Nachrichten-Site: Für ihre Erstellung entlehnten die Spammer eines Teils des Original-html-Codes mit funktionierenden Links. Die Falle besteht in dem Text des Leitartikels, in dem es um einfache Verdienstmöglichkeiten geht. Alle in ihm enthaltenen Links führen auf eine betrügerische Website zur Personalvermittlung. Üblicherweise werden auf solchen Ressourcen viele persönliche Daten erfragt oder „Geldesel“ angeworben.

Nach Angaben von SecureWorks ist die Quelle des offenen Redirects, der den Spammern in die Hände spielt, die Datei LinkClick.aspx – ein Programm, das im Rahmen des Open-Source Content Management Systems DotNetNuke (DNN) eingesetzt wird. Diese Anwendung macht es möglich, einen mit einer Datei auf einer Websites verbundenen Link bei Verlegung der Website aufrechtzuerhalten und die Anfrage-Statistik zu verfolgen. SecureWorks zählte 7 gov-Websites mit offenem Redirect, die von Spammern eingesetzt wurden. Die Imitats-Seiten, die mit Hilfe von Kurzlinks angezeigt werden, befinden sich zum größten Teil in der Zone .net. Alle entsprechenden Domains – insgesamt etwa ein Dutzend – wandeln sich in verschiedene IP-Adressen um, inklusive der Adresse comcor.ru im Netz des Moskauer Breitbandnetzbetreibers Akado.

Die verkürzten Links, die im Rahmen der laufenden Spam-Kampagne verwendet wurden, ändern sich sehr schnell – um eine Blockierung und die Aufnahme der gefälschten Websites in Schwarze Listen zu vermeiden. Laut Statistik von 1.USA.gov waren die Spammer-URL innerhalb einer Woche andauernder betrügerischer Versendungen über 43.000 Mal aktiviert. In diesem Zeitraum entfielen auf ihren Anteil 15,1% der Klicks auf Kurzlinks von 1.USA.gov. In 85% der Fälle konnte Symantec die geografische Quelle einer solchen Anfrage identifizieren. Es scheint, als wäre es den Spammern gelungen, Nutzer aus 124 Ländern auf ihre Seiten zu locken, darunter in den USA (61,7%), Kanada (23,4%), Großbritannien (5,3%) und Australien (4,5%).

Die unabhängige Behörde US-General Services Administration, der Betreiber des Portals USA.gov, hat bereits entsprechende Maßnahmen unternommen: Gemeinsam mit Bit.ly wird das Problem des Missbrauchs von Kurzlinks gelöst, die Spammer-Seiten wurden blockiert und den Administratoren von Websites mit offenen Redirects wird geholfen, die Sicherheitslücke zu beseitigen.

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.