Link wird im Anzeigemodus "Rein-Text" nicht voll erkenntlich aufgelöst

• Thunderbird-Version: 52.4.0
• Betriebssystem + Version: Linux Mint 64bit / Win7 64bit

Hallo allerseits,

ich habe heute eine Phishing-Mail bekommen, bei der ich immerhin schon zwei mal schauen musste, bevor ich sie in den Papierkorb verfrachtet habe. Und dabei ist mir etwas aufgefallen:

Ich lasse mir die E-Mails ausschließlich in der Ansichtseinstellung "Rein-Text" anzeigen und bin immer davon ausgegangen, dass mir der Link so angezeigt wird, wie er (wenn ich draufklicken würde) der Browseradressleiste übergeben würde.

Heute ist mir aufgefallen, dass das - zumindest bei dieser E-Mail - nicht der Fall ist.

Ich dachte, mit "Rein-Text" - Anzeige fahre ich auf der sicheren Seite? Was ist Eure Erfahrung / Meinung? Verbirgt sich da irgendwo ein Trick, oder ist das schon lange so? Wie macht ihr das?

Um das mal ein bisschen strukturierter zu erfassen, habe ich drei Möglichkeiten genutzt, mir den Link anzusehen:

1. Anzeige in der geöffneten E-Mail

2. mit Rechtsklick kopieren und dann in einen Editor einfügen

3. mit der Maus über dem Link schweben und die Vorschau in der Statusleiste unten (heißt die Satusleiste?) beobachten.

Variante 2 und 3 stimmen nahezu überein, wobei 2 im Gegensatz zu 3 URL-encoded zu sein scheint:

Ansicht Reiner-Text:
  In E-Mail angezeigt:                 https://www.strato.de/apps/CustomerService#/skl
  Rechtsklick Linkadresse kopieren:    https://www.xn--tt-7kcl1dvh.de/apps/Cust%D0%BEm%D0%B5rS%D0%B5rvic%D0%B5#/skl
  Vorschau in der Leiste unten:        https://www.xn--tt-7kcl1dvh.de/apps/CustomerService#/skl#

  In E-Mail angezeigt:                   <http://arredamentivalentini.com/ytilooj>
  Rechtsklick, Linkadresse kopieren:      http://arredamentivalentini.com/ytilooj
  Vorschau in Leiste unten:               http://arredamentivalentini.com/ytilooj



  In E-Mail angezeigt:                    www.strato.de
  Rechtsklick, Linkadresse kopieren:      http://www.xn--stt-7cdo2e.de/
  Vorschau in Leiste unten:               http://www.xn--stt-7cdo2e.de/

  In E-Mail angezeigt:                    <http://www.strato.de/>
  Rechtsklick, Linkadresse kopieren:      http://www.xn--stt-7cdo2e.de/
  Vorschau in Leiste unten:               http://www.xn--stt-7cdo2e.de/



Original HTML-Ansicht:

  In E-Mail angezeigt:                 https://www.strato.de/apps/CustomerService#/skl
  Rechtsklick Linkadresse kopieren:    http://arredamentivalentini.com/ytilooj
  Vorschau in der Leiste unten:        http://arredamentivalentini.com/ytilooj


  In E-Mail angezeigt:                    www.strato.de
  Rechtsklick, Linkadresse kopieren:      http://www.xn--stt-7cdo2e.de/
  Vorschau in Leiste unten:               http://www.xn--stt-7cdo2e.de/

In der Original-HTML-Ansicht erkennt Thunderbird übrigens den Phishingversuch und warnt sofort (hatte ich bisher noch nie gesehen, da ich die ja nicht nutze).

Ich lade euch mal den anonymisierten Quelltext hoch. Für diejenigen, die mit base64 - codierung nicht so viel anfangen können, habe ich den Inhalt der E-Mail, der base64 kodiert ist, nochmal decodiert angehängt.

Meine Fragen:

War das ein irrglaube, dass ich davon ausging die Adresse, die dem Browser übergeben wird, in der Rein-Text-Ansicht zu sehen?

Habt ihr ähnliche Beobachtungen gemacht?

Kann jemand dem Quelltext bzw. dem decodierten HTML-Inhalt entnehmen, wie die das geschafft haben (im HTML-Quelltext sehe ich die wirkliche Adresse nämlich auch nicht)?

Kann mir jemand helfen zu verstehen, wieso ich im HTML-Quelltext href="http://www.strato.de/" sehe und der Link aber auf http:// w w w .xn--stt-7c.... geht (so merkwürdig geschrieben da hier sonst automatisch verlinkt wird)?

Falls ihr ähnliche Erfahrungen habt, wie geht ihr damit um?

Was ratet ihr Bekannten, die nicht so erfahren sind im Umgang mit dem Computer?

Vielen Dank im Voraus!

Viele Grüße,

Ulrich

Hallo,

danke für deine Antwort!

Ich kann in den von mir geposteten Beispielen keine Homoglyphen, auf denen der homographische Angriff ja basiert, sehen:

"http://www.strato.de" sieht nunmal nicht ähnlich aus wie "http://www.xn--stt-7cdo2e.de/"

Dennoch vielen Dank, dass du dich hier zu Wort gemeldet und versucht hast zu erklären.

Grüße, Ulrich

Hallo allerseits,

ah, ich verstehe meinen Denkfehler. Danke!

Das ist wirklich ein ganz schöner Mist, mit den Homoglyphen. Punnycode kannte ich gar nicht.

Das finde ich sicherheitstechnisch wirklich einen großen Rückschritt, dass man nicht ausschließich ASCII als Domainnamen verwenden darf. Wenn sich da mir schon Fragen auftun, wie ist das dann erst bei meinen Eltern, wie kann ich sie davor schützen?

Vielen Dank, dass ihr mich hier beharrlich auf die richtige Spur gebracht habt!

Zuerst dachte ich, wir wären auf einen echten Bug gestoßen und wollte schon anfangen, ihn auf bugzilla.mozilla.org zu melden. Allerdings ist es gar kein Bug.

Wenn ich es richtig verstehe, könnte man sogar die (mir hilfreiche) Anzeige des Punnycode beim Hover in der Rein-Text-Ansicht als Bug bezeichnen, da sie ja in diesem Fall die UTF-8-Zeichen im Punnycode anzeigt. In diesem Fall bin ich aber sehr froh um die Codierung, denn (wenn es keine anderen Hinweise auf einen Phishing-Angriff gegeben hätte), wäre ich der Sache vielleicht auf den Leim gegangen.

Eine Erweiterung, die einem anzeigt/warnt, dass in der E-Mail Links sind, die keine echten ASCII-Zeichen verwenden, das fände ich gut. Das ist auch die einzige Lösung, die mir gerade einfällt. Wisst ihr, ob es so etwas gibt? Oder kann ich mich anders "wehren"?

Viele Grüße,

Ulrich