Glem mus-over-link-tjek: Javascript-fidus vinder udbredelse blandt svindlere

javascript
Med Javascript forsøger svindlere i stigende grad at forhindre brugeren i at tjekke, hvor et link faktisk fører hen, oplyser dansk it-sikkerhedsvirksomhed.

Svindlere putter i stigende grad Javascript i html-kode, så det ikke er muligt at tjekke, hvor linket faktisk fører hen, ved at holde musen over det. Teknikken er som sådan ikke ny, men ifølge it-sikkerhedskonsulent hos Dubex Keld Norman er den på fremmarch.

»Det bliver anvendt. Og det har været anvendt længe, vi ser bare flere og flere af dem,« fortæller han.

Et gængs sikkerhedsråd opfordrer fra tid til anden brugere til at holde musen hen over et link, så det fremgår af browserens status-bar, hvor linket faktisk fører hen.

»Det er netop det, man går ud og fortæller i sådan nogle trænings- og awareness-kampagner: Hvis man bare holder musen henover, så kan man se, hvor linket peger hen. Det kan man ikke regne med,« siger it-sikkerhedskonsulenten.

Han har lagt en lille video ud på LinkedIn, hvor han forklarer angrebsteknikken. Her ligger der også et link til en side, hvor det er muligt selv at få syn for sagn.

Den luskede Javascript-kode udnytter, at linket har en værdi, når musen bliver holdt henover, og en anden, når der bliver klikket på museknappen. På kildekoden i testsiden, som Keld Norman linker til, ser det således ud:

<a id="sikker" href="https://www.dinbank.dk" onmouseover="document.getElementById('sikker').href='https://www.dinbank.dk'" onclick="document.getElementById('sikker').href='https://dubex.dk'">
www.dinbank.dk
</a>

Selvom knebet skulle være gammelkendt, så vurderer Keld Norman, at der nok er mange, der ikke kender til det.

Version2 har testet, at koden fungerer efter den ønskede onde hensigt i både Edge, Chrome og Firefox. Til gengæld skulle det ikke umiddelbart være muligt at få hverken Googles Gmail eller Microsofts Outlook til at eksekvere koden. Med andre ord så fremgår den adresse, et klik faktisk fører til, af browserens adressefelt i de to mailsystemer - og det er nok godt nok.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (18)

Kommentarer (18)
Simon Rigét

De fleste mailprogrammer, "hverken Googles Gmail eller Microsofts Outlook" men heller ikke Thunderbird, afvikler javascript koden.

Det kan således ikke bruges til phishing mails. Men mest på websider, der er inficeret .

Kedeligt at man ikke helt kan stole på statuslinjen. Men mon ikke de får rettet op på det nu?

Peter Christiansen

Lidt tyndt øl synes jeg,
I øvrigt behøver du ikke at selecte elementet med en fuld søgning,
du har jo elementet til rådighed i this.

<a href="https://dinbank.dk&quot; onmouseover="this.href='https://dinbank.dk'&quot; onclick="this.href='https://www.google.com'">din bank</a>

Jeg er ikke enig I at man skal gøre noget ved det, det er en feature i javascript
at man kan ændre i DOM som man ønsker.

Simon Rigét

Jeg er ikke enig I at man skal gøre noget ved det, det er en feature i javascript
at man kan ændre i DOM som man ønsker.

Hvem ejer statuslinjen? Er det en system feature eller et side element?

Efterhånden er statuslinjen ikke længere et rigtigt side element. De fleste browsere tillader ikke pr. default, at du ændre i den. Så man kan godt argumenterer for, at den bør vise hvad der sker, når man trykker på linket.
Derfor tror jeg at vi vil se, at det bliver ændret af producenten.

Maciej Szeliga

...at features misbruges.
Det var fuldt forudsigeligt at hvis JavaScript KAN manipulere statuslinjen så vil nogen finde på at misbruge det.

Thumbs Up til Keld for at afsløre at det allerede bliver brugt.

...og kære udviklere, vil i ikke nok tænke på hvordan ting kan MISBRUGES når i koder en feature som ser smart ud???

Thomas Munk

Koden piller altså ikke i statuslinien som det nævnes flere gange her. Koden piller direkte i den adresse der skal skiftes til (HREF) - og det sker først i det øjeblik der klikkes på linket - indtil da er der det rigtige link i HREF.

Default browser-funktionalitet er blot at vise i statuslinien hvad der står i HREF - hvad kan browser-producenten gøre anderledes?

Kim Runholt

Google bruger netop dette "trick" på deres søgemaskine, så man forledes til at tro, at man klikker sig direkte ind på resultatet.
Prøv at holde øje med statuslinjen, når du klikker på et af søgeresultaterne...

Christian Nobel

.. er generelt et uvæsen, da mobile enheder ikke kan skelne, og altid fyrer et klik af.
Noget man skal huske hvis man laver responsive design (ikke at det er noget ret mange kerer sig seriøst om!).

Ole Bang

Man kan også højre klikke og vælge:
Open link in new tab
eller
Open link in new window
så er det url på siden og ikke javascriptets url som komme op.

Henrik Eriksen

Som flere har skrevet er det muligt at sikre sig ved at enten åbne linket i et nyt vindue eller at kopiere linkadressen og paste den ind i adressefeltet. Den sidste mulighed er den bedste, fordi den giver mulighed for et ekstra blik på linket før man går til adressen. (altså kun 'paste' IKKE 'paste and go'.) Skal man kritisere artiklen, må det blive for ikke udtrykkeligt at gøre opmærksom på den slags gode og lette praksisser.

Kjeld Flarup Christensen

Jeg vil mene at det tricks anvendelse er begrænset.
Hvilken gavn har man af at få en bruger til at klikke på et link på side A som fører over til en ondsindet side B, når side A i forvejen var inficeret og også kunne være ondsindet. Altså alt ondt der kan ske på side B kan også ske på side A.

Det eneste man kan opnå er at få brugeren til at tro, at han f.eks. er på paypal.com, men det afslører adresselinjen jo omgående.

Stefan Christensen

@Kjeld Flarup Christensen

Jeg ved nu ikke om det er af "begrænset anvendelse" hvis nu en side du ellers stoler fx har nogle banner reklamer med links i, så kan man jo kamuflere dem, så du tror du kommer til http://troværdig.side/ men i stedet kommer til http://evil_0-day.site/ som inficere din device når/ hvis du trykker. Og du ville jo ikke tænke videre over det for du stoler jo på den siden kommer fra... Jeg kunne nok også tænke på andre måder, men dette er bare en.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017