Konstante Gefahr: URL-Spoofing in Outlook und IE
Auch ohne jede Sicherheitslücke lassen sich in Webpages oder HTML-E-Mails Links einbauen, die andere Seiten ansteuern, als der Link-Text vermuten ließe. Solche Tricks kann man als Anwender aber unschwer entlarven: Das einfache Positionieren des Mauszeigers über der Referenz enthüllt normalerweise die tatsächlich angesteuerte Website oder Page.
An dieser Stelle setzt das so genannte URL-Spoofing an: Auf Grund von Programmfehlern, die der Angreifer (meist via Javascript) zum Modifizieren des Statuszeilentexts ausnutzt, zeigt er auch dort den falschen URL an. Der Benutzer soll arglos dem vermeintlich sicheren Link vertrauen. Ein Klick führt ihn dann entweder auf eine vom Angreifer präparierte Website, lädt Schadcode aus dem Web nach oder führt in einer Mail als Attachment enthaltenen Code direkt aus.