http://0xded6d8a1/www.paypal.com/... /index.htm.Der Link zeigt offensichtlich nicht auf "www.paypal.com" sondern auf den Server mit der Adresse "0xded6d8a1". Durch die hexadezimale Darstellung der IP-Adresse und die fehlende Endung (Top-Level-Domain) fällt einem Unbedarften das aber möglicherweise nicht auf. Das ist besonders wahrscheinlich, wenn die URL unverändert in der Adresszeile des Browsers angezeigt wird.
Schlimmster Fall: Der Konqueror zeigt die Adresse in ihrer verdeckten Form an.
Man kann von den Benutzern erwarten, dass sie Top-Level-Domains und IP-Adressen in Dezimaldarstellung erkennen. Aber mir fällt kein Grund ein, warum ein Link mit als Hexadezimalzahl getarnter Adresse funktionieren müsste.
Tut er aber. Der Browser Konqueror (Version 3.5.9) fällt jedenfalls auf die Hex-Adresse herein. Der Microsoft Internet Explorer ebenfalls, er wandelt den Hexcode allerdings in die Dezimalform der Adresse um, schreibt also
http://222.214.216.161/...(Anmerkung: Dieser Trick funktioniert in der Regel nicht, wenn man einen Proxy-Server benutzt, da die die IPs normalerweise im "richtigen" Format verlangen.)
Selbst wenn der Browser die Adresse nicht umsetzt — so wie mein Iceweasel 3.0.3 (die Debian-Version des Firefox) — sondern den Hexcode als Domainnamen interpretiert, so versucht er möglicherweise, eine funktionierende Domain zu erraten. (Sogenanntes Domain Guessing.) In diesem Fall käme dann
http://www.0xded6d8a1.com/www.paypal.com/... dabei heraus, was Betrüger ebenfalls ausnutzen könnten, aber deutlich auffälliger ist, da der erste Teil der URL dann durch seine Endung .com auffällt.Das Problem scheint nicht wirklich neu zu sein. Diverse Möglichkeiten IP-Adressen zu verschleiern, sind auf der Seite pc-help.org/obscure erklärt. Auf der Seite wird auch auf eine "Dotless-IP-Address"-Sicherheitslücke älterer Versionen des Internet Explorers hingewiesen. Allerdings bestand der Fehler damals "nur" darin, dass der IE verschleierte IPs als im lokalen Netzwerk angesiedelt betrachtete und entsprechend falsche Sicherheitseinstellungen anwandte. (Irgendwie typisch.)
Die verschleierten IP-Adressen an sich scheint hingegen niemand als Problem anzusehen, was Phisher nach Belieben ausnutzen.
http://www.thespanner.co.uk/2008/11/25/ip-conversion/
Da findet sich einiges zu dem oben erwähnten und anderen Obfuscation Pattern.
Grx,
.mario