Glem mus-over-link-tjek: Javascript-fidus vinder udbredelse blandt svindlere

Med Javascript forsøger svindlere i stigende grad at forhindre brugeren i at tjekke, hvor et link faktisk fører hen, oplyser dansk it-sikkerhedsvirksomhed.
19

Svindlere putter i stigende grad Javascript i html-kode, så det ikke er muligt at tjekke, hvor linket faktisk fører hen, ved at holde musen over det. Teknikken er som sådan ikke ny, men ifølge it-sikkerhedskonsulent hos Dubex Keld Norman er den på fremmarch.

»Det bliver anvendt. Og det har været anvendt længe, vi ser bare flere og flere af dem,« fortæller han.

Et gængs sikkerhedsråd opfordrer fra tid til anden brugere til at holde musen hen over et link, så det fremgår af browserens status-bar, hvor linket faktisk fører hen.

»Det er netop det, man går ud og fortæller i sådan nogle trænings- og awareness-kampagner: Hvis man bare holder musen henover, så kan man se, hvor linket peger hen. Det kan man ikke regne med,« siger it-sikkerhedskonsulenten.

Han har lagt en lille video ud på LinkedIn, hvor han forklarer angrebsteknikken. Her ligger der også et link til en side, hvor det er muligt selv at få syn for sagn.

Den luskede Javascript-kode udnytter, at linket har en værdi, når musen bliver holdt henover, og en anden, når der bliver klikket på museknappen. På kildekoden i testsiden, som Keld Norman linker til, ser det således ud:

<a id="sikker" href="https://www.dinbank.dk" onmouseover="document.getElementById('sikker').href='https://www.dinbank.dk'" onclick="document.getElementById('sikker').href='https://dubex.dk'">
www.dinbank.dk
</a>

Selvom knebet skulle være gammelkendt, så vurderer Keld Norman, at der nok er mange, der ikke kender til det.

Version2 har testet, at koden fungerer efter den ønskede onde hensigt i både Edge, Chrome og Firefox. Til gengæld skulle det ikke umiddelbart være muligt at få hverken Googles Gmail eller Microsofts Outlook til at eksekvere koden. Med andre ord så fremgår den adresse, et klik faktisk fører til, af browserens adressefelt i de to mailsystemer - og det er nok godt nok.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Christiansen

Lidt tyndt øl synes jeg,
I øvrigt behøver du ikke at selecte elementet med en fuld søgning,
du har jo elementet til rådighed i this.

<a href="https://dinbank.dk&quot; onmouseover="this.href='https://dinbank.dk'&quot; onclick="this.href='https://www.google.com'">din bank</a>

Jeg er ikke enig I at man skal gøre noget ved det, det er en feature i javascript
at man kan ændre i DOM som man ønsker.

Simon Rigét

Jeg er ikke enig I at man skal gøre noget ved det, det er en feature i javascript
at man kan ændre i DOM som man ønsker.

Hvem ejer statuslinjen? Er det en system feature eller et side element?

Efterhånden er statuslinjen ikke længere et rigtigt side element. De fleste browsere tillader ikke pr. default, at du ændre i den. Så man kan godt argumenterer for, at den bør vise hvad der sker, når man trykker på linket.
Derfor tror jeg at vi vil se, at det bliver ændret af producenten.

Maciej Szeliga

...at features misbruges.
Det var fuldt forudsigeligt at hvis JavaScript KAN manipulere statuslinjen så vil nogen finde på at misbruge det.

Thumbs Up til Keld for at afsløre at det allerede bliver brugt.

...og kære udviklere, vil i ikke nok tænke på hvordan ting kan MISBRUGES når i koder en feature som ser smart ud???

Thomas Munk

Koden piller altså ikke i statuslinien som det nævnes flere gange her. Koden piller direkte i den adresse der skal skiftes til (HREF) - og det sker først i det øjeblik der klikkes på linket - indtil da er der det rigtige link i HREF.

Default browser-funktionalitet er blot at vise i statuslinien hvad der står i HREF - hvad kan browser-producenten gøre anderledes?

Henrik Eriksen

Som flere har skrevet er det muligt at sikre sig ved at enten åbne linket i et nyt vindue eller at kopiere linkadressen og paste den ind i adressefeltet. Den sidste mulighed er den bedste, fordi den giver mulighed for et ekstra blik på linket før man går til adressen. (altså kun 'paste' IKKE 'paste and go'.) Skal man kritisere artiklen, må det blive for ikke udtrykkeligt at gøre opmærksom på den slags gode og lette praksisser.

Kjeld Flarup Christensen

Jeg vil mene at det tricks anvendelse er begrænset.
Hvilken gavn har man af at få en bruger til at klikke på et link på side A som fører over til en ondsindet side B, når side A i forvejen var inficeret og også kunne være ondsindet. Altså alt ondt der kan ske på side B kan også ske på side A.

Det eneste man kan opnå er at få brugeren til at tro, at han f.eks. er på paypal.com, men det afslører adresselinjen jo omgående.

Stefan Christensen

@Kjeld Flarup Christensen

Jeg ved nu ikke om det er af "begrænset anvendelse" hvis nu en side du ellers stoler fx har nogle banner reklamer med links i, så kan man jo kamuflere dem, så du tror du kommer til http://troværdig.side/ men i stedet kommer til http://evil_0-day.site/ som inficere din device når/ hvis du trykker. Og du ville jo ikke tænke videre over det for du stoler jo på den siden kommer fra... Jeg kunne nok også tænke på andre måder, men dette er bare en.

Log ind eller Opret konto for at kommentere

Vestager udstikker bøde til Google på 11 milliarder kroner

0

Ny udgave af Firefox blokerer automatisk afspilning af larmende videoer

0

Google fjernede 2,3 milliarder internetreklamer sidste år

3
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder