Link wird im Anzeigemodus "Rein-Text" nicht voll erkenntlich aufgelöst


    • Thunderbird-Version: 52.4.0
    • Betriebssystem + Version: Linux Mint 64bit / Win7 64bit


    Hallo allerseits,


    ich habe heute eine Phishing-Mail bekommen, bei der ich immerhin schon zwei mal schauen musste, bevor ich sie in den Papierkorb verfrachtet habe. Und dabei ist mir etwas aufgefallen:

    Ich lasse mir die E-Mails ausschließlich in der Ansichtseinstellung "Rein-Text" anzeigen und bin immer davon ausgegangen, dass mir der Link so angezeigt wird, wie er (wenn ich draufklicken würde) der Browseradressleiste übergeben würde.

    Heute ist mir aufgefallen, dass das - zumindest bei dieser E-Mail - nicht der Fall ist.


    Ich dachte, mit "Rein-Text" - Anzeige fahre ich auf der sicheren Seite? Was ist Eure Erfahrung / Meinung? Verbirgt sich da irgendwo ein Trick, oder ist das schon lange so? Wie macht ihr das?


    Um das mal ein bisschen strukturierter zu erfassen, habe ich drei Möglichkeiten genutzt, mir den Link anzusehen:

    1. Anzeige in der geöffneten E-Mail

    2. mit Rechtsklick kopieren und dann in einen Editor einfügen

    3. mit der Maus über dem Link schweben und die Vorschau in der Statusleiste unten (heißt die Satusleiste?) beobachten.


    Variante 2 und 3 stimmen nahezu überein, wobei 2 im Gegensatz zu 3 URL-encoded zu sein scheint:

    In der Original-HTML-Ansicht erkennt Thunderbird übrigens den Phishingversuch und warnt sofort (hatte ich bisher noch nie gesehen, da ich die ja nicht nutze).


    Ich lade euch mal den anonymisierten Quelltext hoch. Für diejenigen, die mit base64 - codierung nicht so viel anfangen können, habe ich den Inhalt der E-Mail, der base64 kodiert ist, nochmal decodiert angehängt.


    Meine Fragen:

    War das ein irrglaube, dass ich davon ausging die Adresse, die dem Browser übergeben wird, in der Rein-Text-Ansicht zu sehen?

    Habt ihr ähnliche Beobachtungen gemacht?

    Kann jemand dem Quelltext bzw. dem decodierten HTML-Inhalt entnehmen, wie die das geschafft haben (im HTML-Quelltext sehe ich die wirkliche Adresse nämlich auch nicht)?

    Kann mir jemand helfen zu verstehen, wieso ich im HTML-Quelltext href="http://www.strato.de/" sehe und der Link aber auf http:// w w w .xn--stt-7c.... geht (so merkwürdig geschrieben da hier sonst automatisch verlinkt wird)?

    Falls ihr ähnliche Erfahrungen habt, wie geht ihr damit um?

    Was ratet ihr Bekannten, die nicht so erfahren sind im Umgang mit dem Computer?


    Vielen Dank im Voraus!


    Viele Grüße,

    Ulrich

    Hallo,


    danke für deine Antwort!


    Ich kann in den von mir geposteten Beispielen keine Homoglyphen, auf denen der homographische Angriff ja basiert, sehen:

    "www.strato.de" sieht nunmal nicht ähnlich aus wie "http://www.xn--stt-7cdo2e.de/"


    Dennoch vielen Dank, dass du dich hier zu Wort gemeldet und versucht hast zu erklären.


    Grüße, Ulrich

  • "www.strato.de" sieht nunmal nicht ähnlich aus wie "http://www.xn--stt-7cdo2e.de/"

    Hallo,


    das muss hier auch nicht ähnlich aussehen. Dieses "xn--stt-7cdo2e" steht für irgendwelche Unicode-Zeichen, die _ihrerseits_ jeweils wie die Buchstaben des Wortes "strato" aussehen. So mag z.B. das kyrillische a wie das lateinische aussehen, ist aber dennoch ein anderer Buchstabe und wirds auch anders kodiert - siehe z.B. den Abschnitt "Homographen in internationalisierten Domainnamen" im obigen Link von mib2020.


    MfG

    Drachen

  • Hallo,

    vielleicht hilft dir auch dieser Link weiter:

    https://de.m.wikipedia.org/wiki/Punycode

    Dort unter "Regeln der Umwandlung".


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Oder einfach einen Punycode Converter benutzen wie diesen https://www.punycoder.com/ und schauen, was der aus

    Code
    http://www.xn--stt-7cdo2e.de/

    macht.

    Ich dachte bisher auch, im Reintext würde der Thunderbird Links in Text auflösen und keinen Punycode konvertieren, so wie es beim Hovern auch geschieht. Deshalb mein Dank an losgehts für den Hinweis.

    • New

    Hallo allerseits,


    ah, ich verstehe meinen Denkfehler. Danke!


    Das ist wirklich ein ganz schöner Mist, mit den Homoglyphen. Punnycode kannte ich gar nicht.


    Das finde ich sicherheitstechnisch wirklich einen großen Rückschritt, dass man nicht ausschließich ASCII als Domainnamen verwenden darf. Wenn sich da mir schon Fragen auftun, wie ist das dann erst bei meinen Eltern, wie kann ich sie davor schützen?


    Vielen Dank, dass ihr mich hier beharrlich auf die richtige Spur gebracht habt!


    Zuerst dachte ich, wir wären auf einen echten Bug gestoßen und wollte schon anfangen, ihn auf bugzilla.mozilla.org zu melden. Allerdings ist es gar kein Bug.

    Wenn ich es richtig verstehe, könnte man sogar die (mir hilfreiche) Anzeige des Punnycode beim Hover in der Rein-Text-Ansicht als Bug bezeichnen, da sie ja in diesem Fall die UTF-8-Zeichen im Punnycode anzeigt. In diesem Fall bin ich aber sehr froh um die Codierung, denn (wenn es keine anderen Hinweise auf einen Phishing-Angriff gegeben hätte), wäre ich der Sache vielleicht auf den Leim gegangen.


    Eine Erweiterung, die einem anzeigt/warnt, dass in der E-Mail Links sind, die keine echten ASCII-Zeichen verwenden, das fände ich gut. Das ist auch die einzige Lösung, die mir gerade einfällt. Wisst ihr, ob es so etwas gibt? Oder kann ich mich anders "wehren"?


    Viele Grüße,

    Ulrich