vrijdag 22 maart 2013

De verkorte URL is handig, maar is deze ook veilig?

De analyse van een verdachte URL is niet moeilijk.

Door: Frank Mulder

Vooral de Twitteraars onder ons zullen het wel kennen, de verkorte URL's. T.co, bit.ly, TinyURL, goo.gl, fb.me, tr.im, bit.ly, owl.li en dlvr.it zijn enkele voorbeelden van diensten die een URL omzetten in een zo kort mogelijke URL. Handig voor de verzender, je houdt immers meer karakters over voor je eigen boodschap. Maar wat als je zo'n verkorte link tegenkomt / ontvangt...? Klikken! Dat is de eerste gedacht van bijna iedereen, onafhankelijk van de inhoud van het bericht.

Neem het onderstaande, waarschijnlijk zeer herkenbare, bericht:


Bij mensen die werkzaam zijn in de ICT security zal dit genoeg alarmbellen doen rinkelen; zij zullen niet op de verkorte URL klikken, ... toch?

Wanneer je een verkorte URL niet geheel vertrouwd is dit een interessante blog. Ondanks dat de tweede helft ervan echt voor de techneuten is, is de eerste helft interessant voor iedereen die met een PC werkt. Middels een aantal stappen kun je namelijk eenvoudig controleren wat er achter de verkorte link schuil gaat.

Verkorte URL's omzetten
De eerste stap is het achterhalen van de daadwerkelijke URL die je uiteindelijke gaat bezoeken als je op de verkorte link klikt. Hiervoor zijn een aantal sites die een ingekorte URL terugvertalen naar de achterliggende URL:

http://unshorten.it/
http://longurl.org/
http://unshort.me/
http://www.unshorten.com/

Wanneer je een verkorte URL via een van bovenstaande sites hebt omgezet naar de oorspronkelijk URL is het zaak deze eerst nader te bekijken. Middels een paar tips kun je snel bepalen hoe betrouwbaar een URL is. Onthoud wel; bij twijfel niet openen!

URL's
Om een URL te analyseren moet je weten hoe een URL eruit kan zien. In het algemeen zijn URL's als volgt opgebouwd:

protocol://gebruikersnaam:wachtwoord@host:poort/resource

Voorbeeld:


In dit voorbeeld wordt de pagina LinkedIn van de website www.degesprekspartners.nl geopend en wordt er aangemeld met de gebruikersnaam frank en het wachtwoord geheim. Afhankelijk van de browser die je gebruikt zal de genoemde pagina van onze website worden geopend. 

Misleiding
Wanneer je klikt op de bovenstaande voorbeeld link, zal onze website gewoon geopend worden zonder enige melding. Kortom, alles voor het @-teken wordt genegeerd wanneer dit niet geaccepteerd wordt door de website. 
Dus als we voor het @-teken iets plaatsen om de gebruiker te doen geloven dat hij op een betrouwbare site uitkomt, zal deze eerder geneigd zijn hier op te klikken. Neem de volgende link:


Ook hier geldt weer dat niet alle browsers deze link zullen openen, maar er zijn er genoeg die "gewoon" de website van De Gesprekspartners zullen openen.
Het probleem in dit voorbeeld zit natuurlijk in het begin. Gebruikers zien als eerste (en kijken meestal niet verder dan) http://bankieren.rabobank.nl. Dat ziet er vertrouwd uit dus KLIKKEN maar!

Vervang in de voorbeelden onze website met een malafide site (dat is wat cybercriminelen doen) en je computer raakt geïnfecteerd of je zit op een andere website dan je denkt, met alle gevolgen van dien. Tevens kan ik je garanderen dat cybercriminelen heel creatief en "professioneel" zijn in het misleiden van gebruikers. Je bent gewaarschuwd...

De genoemde blog bevat meer (technische) informatie voor de liefhebber.

Advies
In het algemeen zou ik adviseren om URL's waarin een gebruikersnaam en/of poortnummer staan niet te openen, tenzij je weet waarom deze erin staan en dat je begrijpt waarom deze erin staan.

Kortom, een verdachte verkorte URL om laten zetten naar de oorspronkelijke URL en deze even goed bekijken alvorens deze te openen. Kan een hoop ellende voorkomen.

Deze blog van Frank Mulder is eerder gepubliceerd op de blog van Panda Security.

1 opmerking: