Ja vielleicht hilft da ein Kinderreim, um das den unbedarften Nutzern klar zu machen : Wenn du etwas runter ziehst, und ein kleines @ du siehst, von der Seite entfern dich flink, und drücke ja nicht auf den Link. Der Morpheus hat uns ja mitgeteilt, wenn man zu unbedarft im Web verweilt, bekommt man nicht nur gute Sachen, sondern auch solche die böses machen.

War mir gar nicht bewusst wie problematisch das ist. Danke fürs aufklären.

Man könnte eine Browser Erweiterung erzwingen, welche den User warnt. Im Normalfall werden in Domains ja keine Divisions Zeichen genutzt, dann kann man diese ja filtern. Müsste dann aber in jedem Browser implementiert sein und jeder bräuchte das Update.

Ganz verrückt. Habe das Video ziemlich sofort gesehen als es rausgekommen ist. Einige Tage später habe ich auf dem Laptop meiner Freundin einen solchen Link gesichtet und ihr sofort erklärt, was dahinter steckt.

Du hälst uns immer auf den stand der Dinge. 👍 Danke für diese Erklärung. Das ist wirklich schon übel für normale anwender das zu sehen und vorallem denen das zu erklären 🙈

Ich hover grundsätzlich, erst einmal bei fragwürdigen Links, mit der Maus darüber und gucken dann im Browser oder im E-Mail-Client unten links, welche Domain wirklich das Ziel ist. Bei dir im Video hast du das ja auch gemacht und damit kann man ganz einfach erkennen, was nach dem Klick angesteuert wird.

ganz ehrlich, ich glaube du unterschätzt deine guten erklärungen. ich denke, wer dem video gefolgt ist sollte das ganze verstanden haben. =)

Ein sehr aufschlussreiches Video, vielen Dank! Es gibt aber Hoffnung für Laien, Nichtinformatiker und Anwender: immer VOR dem Anklicken eines Links unten links im Browser schauen, wo die Reise hin geht! Wir laufen schließlich auch nicht einfach über eine Straße ohne zuvor links und rechts zu schauen, ob ein Fahrzeug kommt.

Gute Erklärung, danke dafür. Arbeite selber in der Security und hatte schon Kunden mit genau diesem Problem und da ich scheiße bin im erklären, kann ich die jetzt immer auf dieses Video verweisen wenn das i.O. für dich ist. Danke

Kleiner Tipp an alle die ein Pihole oder ähnliches haben: Einfach einen RegEx Filter mit: "\.zip$" einrichten (Ohne die ""), wenn man diese Domäne eh nicht nutzt. Blockiert dann automatisch alle seiten die mit .zip enden. Falls man sie doch nutzt kann man immer noch einzelne Seiten wieder freischalten.

Du bist echt unbezahlbar für uns

Moin und vielen dank für deine tollen Videos du hilfst mir auf meinem Weg zum Informatiker

👍🏾👍🏾👍🏾👍🏾👍🏾👍🏾 Danke für die info! Das is ja echt pervers!

Immerhin kann man mit einem Hover unten links den richtigen Link erkennen ansonsten keine Chance. Danke fürs Video 😀

Sehr interessantes Thema

Sehr cooles Video, obwohl ich nur ein bisschen mit Cyber Security am Hut habe, habe ich alles verstanden! : )

Super Video. Aufbauend und sehr verständlich erklärt. Danke weiter so👍

morgen kommen dann die .html domains xD

Ich hab einfach mal für mehr Reichweite des Problems den Hinweis mit Freunden geteilt und auf das Video aufmerksam gemacht und geschrieben: „man klickt keine URL mit @ in der Adresse an.“. Ich denke das ist ein guter Weg die Leute aufzuklären.

Sehr informatives Video und gut für Leien wie mich erklärt, weiter so!

Krass. Danke für die Info. Da hab ich jetzt ne Aufgabe. Am besten sagt man echt, lad nichts mehr runter wenn ich nicht dabei bin. Aber dann muß ich mich klonen. Es wird echt immer schlimmer.

Vielen Dank für dieses Video! Die Entwickler der jeweiligen Browser müssen meiner Meinung nach dringend eine fette Warnung anzeigen wenn ein Link mit einem @ geöffnet wird und eine kurze einfache Erklärung geben was da gerade versucht wird.

Ziemlich raffiniert.. Danke für die Aufklärung!

Google: kennt die Exploitmöglichkeiten auch Google: EGAL! 🤑🤑🤑

Ich warte ja noch auf die .exe Domains…

Das wird ein Albtraum bei uns im Büro werden. Da kann man die Leute einfach nicht mehr drauf schulen. Wir verstehen das zwar, weil wir das Problem kennen, aber ich hatte die gleichen links schonmal gesehen bevor ich von der Thematik gehört hatte und da hatte ich es definitiv nicht erkannt

Mega geil Dein Beitrag. Vielen Dank für die gute Aufklärung und verständliche Darstellung.

Danke, für das video

Ich dachte mir gerade zum Ende: "Ja dann muss ich halt mehr den Je darauf achten, wo mich der Link hinbringt." Aber dann dachte ich mir, was ist, wenn solch eine URL in einem URL-Shortener oder einer Weiterleitung enthalten ist, wie es z.B. in KZbin Beschreibungen der Fall ist. Da sehe ich das ja dann gar nicht mehr.

Danke für dein schnelles und gut erklärtes Video zu diesem Thema!

Danke für das Video. Sehr wichtige Information.

...Das ist alles sagt er :-)) ich versteh leider nur bahnhof .danke fürs video meister ;)

Haben wir bereits bei uns im Unternehmen im Angriff genommen das zu unterbinden, aktuell stellt sich die Frage wie... Spannenderweiße funktioniert es bei mir daheim nicht. Mein host verweigert die Verbindung

...Und mal wieder ist einer der generellen Alpträume der Informatik (Sonderzeichen und Zeitrechnung) beteiligt xD - aber *.zip -Domains sind aber auch wirklich mies, wenn man da nicht unbedingt drauf vorbereitet ist. Das @-Verhalten war mir zwar direkt klar, das mit den Schrägstrichen, bzw. das nur eine Sorte der Schragstriche gefiltert werden war mir zumindest neu und ist natürlich ... sagen wir mal echt ungünstig hier. Danke für die Aufklärung!

Vielen Dank für deine großartige Erklärung. Super hilfreich 😎

Ich wusste ja, dass es zu einigen "westlichen" Buchstaben auch andere Unicodes gibt, aber noch nicht zum Slashzeichen. *Krass* ich mach mich auf die Suche nach ähnlichen -Punkten-

Galis Video, ich wußte auch nicht das es 3(+ Backslash) Slash giebt und hatte früher vule mit ASCII zu tun🙈

Wow ... an sowas hätte ich wirklich nicht gedacht! Das hat ja schon fast das selbe Angriffs-Potential wie das "Right-to-left override", dass man nachwievor im Dateinamen verwenden kann um die wirkliche Dateiendung zu verschleiern.

Wo ist jetzt hier das erhöhte Risiko? Wenn ich nicht übersehen habe beschreibst doch hier nur wie man eine URL auf eine andere Art obfuskieren kann. Es ist daher weiterhin immer zu prüfen, ob der Link text mit dem echten HTML Link (unten links) übereinstimmt. Wer das befolgt, wird auch von diesem Phishing-Versuch nicht getäuscht werden.

Sehr wichtige Information. Dankeschön. Ich hatte dich vor einiger Zeit darum gebeten mal ein Video zu machen wie man erkennt das man gehackt wurde. Das wäre wunderbar wenn du das mal machen könntest. Ich freue mich schon auf deine nächsten Videos und wünsche dir alles Gute. Gruß C.

Das ist noch nicht mal der schlimmste Vektor. Manche Email Anwendungen machen automatisch Links aus Text, den sie als Domain erkennen, einige Chat clients auch. Wenn jetzt jemand irgendwo AnhangPunktZip schreibt, wird da ein Link draus und der Empfänger glaubt er hätte einen Anhang von jemandem geschickt bekommen, dem er vertraut. So kannst du mit üblichen Dateinamen schädliche links in fremde Gespräche reinschmuggeln

Die Lösung hast du selbst schon genannt: Die Schriftart an den PCs von "normalen Menschen" individuell anpassen und die Divisions-Slashes auffällig gestalten. Ich meine wer braucht schon regelmäßig ein Divisionsslash?

fuck, zum Glück bin ich nicht im IT-Support. Studium is auch nicht weniger stressig, aber das dem gesamten Personal erklären müssen...

Bisher konnte ich immer sagen: "Schau ans Ende des Links, da seht die URL" aber wenn die URL wie eine Dateiendung heißt, wirds schwierig. Wenn man den Link auch lang und kryptisch genug macht (was durchaus normal ist) findet man auch ein @ nicht mehr. Da hilft nur, dass mal ein pfiffiger Programmierer ein Browser-Plugin raus wirft, dass das @ erkennt und dann die Webseite nicht ausführt oder zumindest vorher warnt.

Pihole ins Heimische Netzwerk und Zip-Domains blockieren.

Omg. Dank dir

Wer auch immer dachte, .zip als TLD wäre eine gute Idee gewesen, sollte rückwirkend abgetrieben werden.

Och nö .zip domains xD gutes video btw

Wäre es möglich ein Syntax-Highlighting zu machen, damit man einfach erkennen kann, wann ungewöhnliche Zeichen verwendet werden? Oder auch bestimmte Zeichenfolgen anders einfärbt, damit man beispielsweise die Kombination rn von einem m einfach unterscheiden kann. Oder auch, je nach den Wünschen des Benutzers, bestimmte Wörter, oder Wortfolgen, bei der Anzeige durch Symbole ersetzt, ohne die URL zu verändern.

Super Video. Ich habe auch mal versucht eine Chrome Extension zu schreiben, welche genau bei solchen Links anspringt und diese Webseiten blockiert. Dies wäre für viele nicht so versierte Nutzer sicherlich hilfreich. Aber leider habe ich es nicht geschafft, dass das Skript funktioniert. Vielleicht kriegt das ja jemand von euch oder sogar du Morpheus hin. Wäre sicher eine ganz hilfreiche Erweiterung, welche für jemanden mit mehr Programmiererfahrung nicht zu viel Zeit kosten dürfte

einfach .Zip Domains mit z.b Cisco umbrella blocken, Defender 365 Savelinks sollte die links ebenfalls wegputzen. Also das Prinzip ist halt nicht neu "Faking Domain Names with Unicode Characters" aber in combi mit . zip Domain ist schon witzig

wann kommen denn die .jpg Domains? ^^ Grüße

Warum denn nicht gleich .exe domains? :D

Wenn ein Website-Betreiber eine [bekannte] Schriftart so editiert, dass Buch- und Divisionsschrägstriche wie normale Slashes aussehen, erkennt man gar keinen Unterschied mehr. Gruselig. Gibt Gott sei Dank ein Browser Add-on, mit dem man Zeichen highlighten kann. Hab mir da erst mal Divisionsschrägstriche und Bruchstriche markieren lassen.

Es gibt für Chrome die Erweiterung: un"punkt" ZIP - "punkt"ZIP TLD Blocker. Die Wörter "punkt" durch "." ersetzen.

Gutes Video 👍

Warte mal.. wenn ich auf meiner Tastatur / (mit Umschalt+7) und / über den Nummernblock eintippe sind das doch keine unterschiedlichen Zeichen? Wo hast du denn dein Divisions-Slash her?

Just avoid all links with @ in them, or inspect them first

Wird als Angriffsvektor denke ich überschätzt. Die wirklichen Ziele von solchen Attacken klicken auch auf ganz andere Links...

Wenn der Strich die buchstaben berührt.. Nicht anklicken.. Ist eine lücke zwischen dem strich und den buchstaben.. Anklicken :D

"Niemand nutzt das @ zeichen mehr um sich anzumelden" - Ich letztens auf der Arbeit...

Sehr interessant 👍

Dinge die ich durch das Arbeiten mit URLs gelernt habe: hat es nen doppelpunkt, ist es ne gültige URL

Ich werde gewanrt und gefargt ob ich die Seite wirklich betretten will, wenn ich das mache.

Das ist ja wirklich krass! Da muss aber auch erstmal einer drauf kommen. Wahnsinn!!! Das ist ja wirklich eine fatale Schwachstelle!!! Bin gespannt, wie sich das weiter entwickelt.... 😱🤔

Aber ist das Hauptproblem nicht der Divisions-Slash (bzw alle Fakeslashes) und nicht die Zip Domains? Durch den Fakeslash kann doch jede URL auch in der Statusleiste des Browsers täuschend echt aussehen und auf eine Phishingseite führen. Die Zip Domains als zweites Problem sehe ich, da man hier die URL zu einem Download überprüfen will und dann dennoch getäuscht wird

Eigentlich müssten die Browser-Hersteller dann darauf reagieren und solche Links als gefährlich anzeigen bzw. einfach nicht öffnen lassen.

starkes Video, aber recht auffällig, nämlich wenn man sowas auf Whatsapp bspw. geschickt bekommt, wird das ganze Link nicht markiert sondern nur nach dem "@Link" in dem Fall Zip Link also sieht man schnell ob es ein Fishing Link ist wo sogar auf Discord das Trick blockiert wird mit den Sublinks und das richtige Link sofort geschickt wird. Man muss praktisch das ganze Link roh kopieren, man muss eben extrem blöd sein um sich sogar die Mühe zu machen das ganze "Link" also auch das Fakelink am anfang mit zu copypasten. Dafür bin ich Gott sei dank zu Faul xD

Ich hab meine IT (Firma mit ein paar Dutzend Tausend Mitarbeiter) weitergeleitet. Hoffe die schaffen die seiten zu blocken!!!

Auf jeden Fall muss die Familie gewarnt werden. Die sollen einfach beim downloaden auf @'s achten bevor sie den link anklicken.

Hm, irgendwie verstehe ich das Problem nicht. Wenn man drüber hovert sieht man unten, dass es Scam ist. Klar, wenn man es nicht macht fällt es nicht auf. Aber wozu die zip-Domain dann? Der Linktext kann doch schon immer anders sein als der eigentliche href - oder wo ist mein Denkfehler?

Um Menschen davor zu schützen, muss man in der Schule anknöpfen, und zwar mit richtigen Informatiksicherheits-Unterricht ab der 1. Klasse. In der aktuellen Zeit sind Kinder schon mit Handys ausgerüstet, bevor sie daran denken in die Schule zu gehen ^^ Aber mal so btw, wem der Divisionsstrich nicht sofort auffällt ist echt bisel komisch für mich, weil dieser ist ja sichtlich verbunden mit den Buchstaben vorne und hinten dran, was beim Slash nicht der Fall ist. Ich persönlich bekomme richtig Augenkrebs, wenn ich so ne url sehe ^^ und ich denke mal, die meisten Leute werden das auch merken, aber sich einfach nichts dabei denken, wenn sie sich damit nicht auskennen. Also für die ältere Generation einfach nin paar Wochen in der Wochenshow zeigen, was das ist und dann wissen die das auch :) Aber ne Lösung für wirklich alle Menschen ist aktuell nicht möglich denke ich mal. Zu viele Menschen wollen sich mit sowas gar nicht beschäftigen und denken sich: "ach was, den schmarn brauche ich doch nicht" und werden dann zwangsläufig darauf hereinfallen...

Ja also auch wenn die Hintergründe kompliziert sind ist es die Konsequenz nicht: 1) Mitarbeiter müssen bereits jetzt links auf das Ziel prüfen auf die sie gehen (also links unten diese Anzeige die du gezeigt hast). Da sieht man, dass es ganz woanders hingeht als man erwarten würde und 2) einfach auf keine Links klicken wo ein @ drin steht.

Hi. Was heißt das bei 0:52 ? "Nicht erreichbar, für legale Gründe"? Ist die nur 'für i-legale Gründe' ereichbar, oder was? Und ich hab wirklich Probleme mit Englisch... ...das soll keine 'Anspielung', 'Sarkasmus', oder sonst was sein, sondern wirkliche eine Frage...! (Auch wenn evtl. etwas sarkastisch formuliert...) Und 'Google-Übersetzer' u co. helfen mir zu oft nicht, weil sie scheinbar nur die Wörter/teilsätze/etc. 1zu1 direkt übersetzen... Gruß

Wann gibt es ein Update Video zu deinem Fernstudium? Wie findest du das Fernstudium bei deinem Anbieter? Was gefällt dir und was nicht? Wie viele Module hast du schon bestanden? usw

Ich häng immer noch an der zip-Domain... Generell - in Email-Anhängen etc. - macht wohl niemand zip-Dateien auf. Und da frag ich mich: warum zur Hölle kommt - werauchimmer - auf die Idee, zip-Domains zu erschaffen???? Wie bescheuert kann man sein??? Ich mein: Mein Hirn weigert sich grad _immernoch_ , schon einfach mal _diesen_ Fakt zu begreifen... Und dann kommt noch die "superpraktische" Anwendung eines solchen zip-Links obendrauf. Wie du hier am Github-Beispiel ja sehr anschaulich demonstriert hast... ääh... neee. zip-Domains??? Echt jetzt? zip-Domains??????? Ich fall grad völlig vom Glauben ab... 😵‍💫😵‍💫😵‍💫

Bin selber informatiker und wusste das mit dem @ gar nicht.

Echt perfide. Dann nutzt man die original Datei, packt da den Trojaner mit rein und postet überall den modifizierten link

Firefox warnt vor dem @-Zeichen - naja, eigentlich fragt Firefox, ob man sich bei der url nach dem @ einloggen will, obwohl die Seite keinen Login erfordert mit dem Hinweis 'This may be an attempt to trick you' (hab FF auf Englisch) lt. einigen Kommentaren machen das auch andere Browser so oder so ähnlich, wenn ein @ in der Url vorkommt.

PiHole und alle URLs mit genau den entsprechenden unicodes blocken. Das könnte eine Idee sein. Evtl könnte man auch via Regex blocken. Der 0815 User braucht jeder URLs mit diesen Unicode Zeichen, noch braucht er eigtl überhaupt URLs mit einem @ drin. Zumindest trifft das alle aus meiner Familie zu, die ich kenne, die nicht in der IT arbeiten. Aber selbst für uns ITler heißt es: aufpassen!

Naja gut aber wenn man die URL anständig anschaut kann man sich ja denken dass da was nicht stimmt wenn die Slashes halb im Text stehen. Und die meisten Browser markieren die Domain in der URL Bar in ner dunkleren Farbe als den Rest.

krass, wird ne spannende geschichte

Hätte man einfach aus sicherheitsrelevanten Gründen nie zulassen dürfen, dass gängige Dateiendungen/-kürzel als Domain angeboten werden.

KZbins Kommentare machen das nicht besser. Alles, was wie eine URL aussieht (auch ohne das https) wird gnadenlos in einen Link umgewandelt. Und wenn man dann die Domain beispiel(punkt)zip registriert und dort eine Zip-Datei ausliefert...

Könnte man für normalsterbliche diese special Buchstaben mit einem addon irgendwie verbieten?

Es wäre doch auch denkbar das man unsichtbare Zeichen einfügt um so noch mehr zu täuschen oder?

Also als Ottonormal Anwender ist es unmöglich das zu unterscheiden und ich würde auch behaupten dem einen oder anderen crack kann da durchaus drauf reinfallen weil man nicht auf jeden pups in einem link achtet. Das einzige was vieleicht helfen kann ist ein Warnsystem wie es bspw. Steam macht und einen darauf hinweist dass man jetzt einen Link öffnet und der obligatorische Tooltip (zumindest war es im FF bisher immer so) zeigt einem die ECHTE Domain an. Nur halt in schriftgrlße 32 und FETT in der Mitte vom Bildschirm. Allerdings könnte diese "Idee" einem auf dauer auf den Zeiger gehen. Daher nein es gibt nicht wirklich eine möglichkeit sich davor zu schützen, außer vieleicht aufklärung und informieren wie du es gerade gemacht hast.

Mal als kompletter Sicherheitslaie: wenn ich auf eine solche Seite komme und sehe, das mich der Inhalt nicht interessiert - dann ohne etwas anzuklicken den Tab schließe, wo ist dann ein Angriff ?

Heftig.

Auto Downloads deaktivieren. Ich denke das kann ungewolltes herunterladen verhindern oder?

Es ist doch eigentlich nicht so schwer, einfach nie auf Links klicken, die ein @ beinalten (und das halt mit der Untersuchen-Option feststellen) oder?

kussi

Das ist ziemlich übel. Vor allem wenn solche Links dann bei Suchmaschinen wie Google oder Bing in der Ergebnisliste auftauchen. Ich hoffe die blockieren so etwas.

Das einfachste wäre, den Menschen zu sagen, dass sie unten links schauen sollen, ob der Link auch dahin führt, wo sie hinwollen, würde ich sagen. Oder spricht etwas dagegen?

Kann man nicht einfach ein Add-On für den jeweiligen Browser programmieren, der den Divisionstrich und Bruchstrich in der URL-Adresse verbietet? Könnte man ja eigentlich auch als Update reinbringen. Dann wäre das Problem behoben.

Da hat Google einen riesen Fehler gemacht bei der Freigabe dieser tld.

Die beste Möglichkeit mMn: die zip und mov Domains im DNS komplett sperren.

Gestern bei Google: "Kauft zipdomains für viele Dollars." Morgen bei Google: "Kauft das kostenpflichtige Chrome-Addon, was automatisch zipdomains blockiert."

Warum geht das nur mit .zip Domains? Oder was ist an .zip so besonders, kann das nicht zurückverfolgt werden?

vlt ist ja ein kleines skript möglich, der verbindungen zu url mit einem @ oder dem falschen / unterbindet, bzw. entsprechende einstellungen in pihole (wenn jemand sowas im lan hat)