Ich habe heute eine
Phishing-Mail erhalten, die mich auf eine gefälschte PayPal-Seite lotsen möchte. In der HTML-Mail befindet sich ein Link auf die Seite
http://0xded6d8a1/www.paypal.com/... /index.htm
.
Der Link zeigt offensichtlich nicht auf
"www.paypal.com" sondern auf den Server mit der Adresse
"0xded6d8a1". Durch die
hexadezimale Darstellung der IP-Adresse und die fehlende Endung (
Top-Level-Domain) fällt einem Unbedarften das aber möglicherweise nicht auf. Das ist besonders wahrscheinlich, wenn die
URL unverändert in der Adresszeile des Browsers angezeigt wird.
Man kann von den Benutzern erwarten, dass sie Top-Level-Domains und IP-Adressen in Dezimaldarstellung erkennen. Aber mir fällt kein Grund ein, warum ein Link mit als Hexadezimalzahl getarnter Adresse funktionieren müsste.
Tut er aber. Der Browser
Konqueror (Version 3.5.9) fällt jedenfalls auf die Hex-Adresse herein. Der
Microsoft Internet Explorer ebenfalls, er wandelt den Hexcode allerdings in die Dezimalform der Adresse um, schreibt also
http://222.214.216.161/...
(Anmerkung: Dieser Trick funktioniert in der Regel nicht, wenn man einen Proxy-Server benutzt, da die die IPs normalerweise im "richtigen" Format verlangen.)
Selbst wenn der Browser die Adresse nicht umsetzt — so wie mein
Iceweasel 3.0.3 (die
Debian-Version des Firefox) — sondern den Hexcode als Domainnamen interpretiert, so versucht er möglicherweise, eine funktionierende Domain zu erraten. (Sogenanntes
Domain Guessing.) In diesem Fall käme dann
http://www.0xded6d8a1.com/www.paypal.com/...
dabei heraus, was Betrüger ebenfalls ausnutzen könnten, aber deutlich auffälliger ist, da der erste Teil der URL dann durch seine Endung
.com
auffällt.
Das Problem scheint nicht wirklich neu zu sein. Diverse Möglichkeiten IP-Adressen zu verschleiern, sind auf der Seite
pc-help.org/obscure erklärt. Auf der Seite wird auch auf eine
"Dotless-IP-Address"-Sicherheitslücke älterer Versionen des Internet Explorers hingewiesen. Allerdings bestand der Fehler damals
"nur" darin, dass der IE verschleierte IPs als im lokalen Netzwerk angesiedelt betrachtete und entsprechend falsche Sicherheitseinstellungen anwandte. (Irgendwie
typisch.)
Die verschleierten IP-Adressen an sich scheint hingegen niemand als Problem anzusehen, was Phisher nach Belieben ausnutzen.