2295542

Ärger mit Bit.ly und Co: Wie man verdächtige Shortlinks überprüft

18.02.2021 | 17:05 Uhr | Stephan Wiesend

Immer wieder setzen Spamautoren und Phisher auf URL-Kurzlinks von c.tn oder Bit.ly. Es gibt aber mehrere Prüf-Möglichkeiten.

Vor allem in sozialen Netzen nutzen Malware-Autoren und Phisher gerne sogenannte Link-Shortener. Die Gefahr dabei: Angeblich versteckt sich hinter dem Link in Tweet oder E-Mail ein witziges Video oder ein interessanter Artikel, in Wirklichkeit aber landet man auf eine Phishing-Seite! Eigentlich sind diese Link-Verkürzer sehr praktisch, um Beiträge mit ellenlangen Seitenadressen in einem Tweet oder Message unterzubringen. Leider helfen sie auch Hackern, sich hinter Kürzeln wie bit.ly/2xxlkTC, t1p.de/u353 oder tinyurl.com/ycb8psxr zu verstecken.

Es gibt zahllose Dienste, aus China stammen etwa Links mit dem Kürzel t.cn, youtu.be ist der eigene Kürzel-Dienst von Youtube und auch Twitter und Facebook haben URL-Verkürzer. In Deutschland ist außerdem der Dienst t1p.de beliebt.

Will man aber vor dem Aufruf eines solchen Links wissen, ob er gefährlich ist, hat man mehrere Optionen: Bei Links auf Webseiten oder in E-Mails kann man auf eine Reihe an Webdiensten zurückgreifen. Seitenbeschreibung und Weiterleitungen ruft etwa der Dienst GetLinkInfo auf, der auch die Seite mit bekannten Spam- oder Malwareseiten abgleicht. Auch vor dem Aufruf eines verlinkten Youtube-Videos kann man überprüfen, was einen da erwartet. Die gleichen Dienste liefern die Seiten CheckShortURL und unfurl.com .

Nutzer von Google Chrome können gekürzte Links außerdem mit einer Erweiterung wie "Preview Short URLs" auflisten, Firefox-Nutzer mit Unshort.link. Meist kann man schließlich schon an der Adresse erkennen, ob der Link zu einer bekannten Webseite wie Spiegel Online oder Welt oder zu einer seltsamen und komplexen Webadresse führt, die wohl nichts mit dem versprochenen Inhalt zu tun hat. Dann ist eine Prüfung allerdings schwierig.

Webdienste können die Kurzlinks auflösen und Informationen über die Seite liefern.
Vergrößern Webdienste können die Kurzlinks auflösen und Informationen über die Seite liefern.

Abgleich mit Malware-Datenbanken

Die genannten Preview-Dienste behaupten, die geprüften Seite auf ihre Schädlichkeit zu prüfen. Das ist aber ein Versprechen, das sie nicht halten können: Phishing- und andere Malware-Seiten sind meist nagelneu, sodass sie oft noch nicht in Datenbanken bekannter Phishing-Seiten auftauchen. Auch moderne Browser wie Safari prüfen bereits jeden Link automatisch per Google Safe Browsing und sollten so bei versteckten Malware-Adressen schützen. Das gilt auch für die von Twitter automatisch geprüften Short-Links.

Das Problem: In der Praxis kann man sich auf diesen Schutz einfach nicht verlassen, aktuelle Bedrohungen sind allen Diensten nämlich oft mehrere Tage unbekannt. Das gilt auch für den Dienst "Virus Total", der auf die Prüf-Daten zahlloser Antivirenprogramme zugreift. Man kann den verkürzten Link manuell über die Seite Virustotal.com testen. Diese Seite nutzte die Link-Scanner von dutzenden Virenscanner und liefert nach einigen Sekunden ein Ergebnis.

Testet man mit dem Dienst Webadressen, sind die Ergebnisse aber oft enttäuschend. Die Vielzahl von Quellen (aktuell 83) macht die Prüfung dabei offensichtlich nicht zuverlässiger, nur langsamer. Ein Problem sind auch so genannte False Positives. So wird auch ein Bit.ly-Link zu Macwelt.de schon mal zu Unrecht als gefährlich eingestuft. Zumindest aber Informationen über eine Webseite können sie liefern.

Auf Virus Total ist nur begrenzt Verlass, dieser völlig harmlose Link wird von einem chinesischen Scanner irrtümlich als gefährlich eingestuft.
Vergrößern Auf Virus Total ist nur begrenzt Verlass, dieser völlig harmlose Link wird von einem chinesischen Scanner irrtümlich als gefährlich eingestuft.

Dass man sich auf einer Malware-Seite befindet, merkt man aber meist schnell, wenn man plötzlich zur Installation einer Erweiterung oder eines Players aufgefordert wird. Durch eine solche Installation kann man sich übrigens sogar als Mac-Anwender Spyware auf seinen Rechner holen. Immerhin ist man als Mac-Anwender vor Drive-By-Infektionen einigermaßen sicher, bei denen schon der Aufruf der Webseite für die Infektion genügt.

Tipp: Integrierte Vorschau-Funktion

Viele der Shortener Dienste habe bereits eine integrierte Vorschaufunktion. Ergänzt man etwa bei den Links Bit.ly ein +, wird statt dem Link eine Vorschauseite aufgerufen. Statt bit.ly/2xxlkTC gibt man dann einfach bit.ly/2xxlkTC+ ein und erhält die eigentliche Webseite angezeigt. Bei is.gd ergänzt man dagegen ein Minuszeichen bzw. einen Gedankenstrich. Statt is.gd/hyOKvn also is.gd/hyOKvn-. Ein Gleichheitsszeichen = verwendet dagegen Tiny.cc also tiny.cc/8t6mtz=. Beim alten Dienst TinyUrL muss man dagegen ein „preview“ voransetzen. Aus tinyurl.com/ycb8psxr wird dann preview.tinyurl.com/ycb8psxr.

Macwelt Marktplatz

2295542