Kurz-URL - nützlicher Helfer oder Wirt für Parasiten?

Anbieter für URL-Kürzungsdienste gibt es wie Sand am Meer. Zu den Bekanntesten zählen goo.gl, bitly.com oder tinyurl.com. Das ist nicht verwunderlich, da diese recht nützlich sein können. In Mails wirkt ein Link dadurch nicht mehr so lang und stört weniger den Lesefluss. URLs die man auf Papier bekommt, zum Beispiel mittels eines Newsletters, kann man so schneller und einfacher abtippen. Mittels eines Kurz-Links lässt sich zudem einfach verfolgen, durch welche Werbeaktion Kunden auf die Website gelangt sind. Vor allem in den sozialen Medien erfreuen sich die Kürzungsdienste grosser Beliebtheit. Dies aus dem Grund, da Posts, Tweets und Co. jeweils eine beschränkte Anzahl Zeichen voraussetzen und man seinen wertvollen Inhalt nicht aufgrund eines langen Links kürzen möchte. Übrigens hat Twitter deshalb einen eigenen URL-Kürzungsdienst eingeführt.

Tarnung für Malware

Doch so nützlich diese Kurz-URLs auch sein mögen, sie bergen gewisse Gefahren, die beim Umgang mit ihnen beachtet werden sollten. Zum einen haben Cyberkriminelle die Möglichkeit entdeckt, mittels Kurz-URLs das wahre Linkziel zu verbergen. Eine beliebte Methode ist es zum Beispiel, auf sozialen Medien Posts mit einem gekürzten Link zu verbreiten, der angeblich weitere Informationen liefern soll. Der User sieht lediglich die normale URL des Kürzungsdienstes und klickt auf diese. Statt die versprochenen Informationen zu erhalten, wird er auf die Website des Hackers umgeleitet. Dort kann es geschehen, dass im Hintergrund Spyware, Ransomware oder sonstige Malware installiert wird. Anfang dieses Jahres wurde zum Beispiel ein URL-Kürzungsdienst dazu verwendet, um einen Downloader für Cryptowall zu verbreiten. Dadurch wurden die Daten der ahnungslosen User verschlüsselt und Geld von ihnen verlangt, damit sie wieder entschlüsselt werden.

Spam, Sicherheitslücken und Identitätsdiebstahl

• Einstufung als Spam: Es bestehen auch Risiken und Nebenwirkungen für jene, die einen Kurz-URL mit guten Absichten erstellen und verbreiten möchten. Viele Firmen haben auf die Risiken von Kurz-URLs reagiert und dafür gesorgt, dass Mails mit solchen Links kurzerhand im Spamordner landen. Ausserdem sind auch die User vorsichtiger geworden und klicken nicht mehr einfach auf jeden Link, den sie zugeschickt bekommen.
• Veröffentlichung privater Daten: Eine im April 2016 veröffentlichte Studie hat diverse Sicherheitsprobleme bei Kurz-URLs festgestellt. Man fand heraus, dass Microsoft-OneDrive und Google Maps teilweise bit.ly Kurz-URLs verwendeten. Da diese lediglich sechs Zeichen aufwiesen, war es für die Forscher ein Leichtes, mittels Brute-Force funktionierende URLs herauszufinden. Erstaunlicherweise erhielten sie so Zugang zu Tausenden von privaten Dokumenten in der Cloud. Einige von diesen konnten sogar bearbeitet werden. Das hätte dazu genutzt werden können, schädliche Dateien in die Cloud zu laden, welche dann automatisch mit allen Geräten des Nutzers synchronisiert werden würden.
• Hilfe beim Identitätsdiebstahl: Auch bei Google Maps zeigte die Studie grosse Sicherheitslücken in der Verwendung von Kurz-URLs auf. Die Forscher konnten archivierte Abfragen und Adressen erhalten. Vor allem für Identitätsdiebe stellt dies eine Möglichkeit dar, an persönliche Daten wie die Wohnadresse zu gelangen.

Mögliche Gegenmassnahmen

Die einfachste Gegenmassnahme ist es natürlich, Kurz-URLs gar nicht erst anzuklicken. Manchmal bekommt man sie jedoch von jemandem zugeschickt, dem man vertraut. Aber auch in diesem Fall sollte man vorsichtig sein, da beispielsweise ein gehackter Facebook Account dahinterstecken könnte. Deshalb empfiehlt es sich grundsätzlich, vorab die Finale Destination des Links zu überprüfen. Mit Onlineanbietern wie GetLinkInfo ist dies ganz einfach möglich. Versuchen Sie es doch mit dieser aspectra Kurz-URL: https://www.aspectra.ch/kurz_url.
Möchte man selbst Kurz-Links erstellen und verbreiten, bietet sich ein selbstbetriebener Kürzungsdienst an. Dazu eignen sich beispielsweise Open Source Dienste wie YOURLS. So hat man die volle Kontrolle über seine Kurz-Links und kann selbst bestimmen, wie diese aussehen sollen. Dadurch wirken diese glaubwürdiger als eine blosse Abfolge von zufälligen Zeichen und Glaubwürdigkeit ist ja bekanntlich ein wichtiges Kriterium dafür, dass User einem Link folgen.