Mit Hilfe von JavaScript lassen sich Links auf eine Weise manipulieren, dass selbst aufmerksame und sachkundige Nutzer davon nichts bemerken. Angreifer können mit dieser Methode Links tarnen und so Nutzer auf Seiten lotsen, die diese eigentlich nicht besuchen wollten.

Der Blogger und Entwickler Bilawal Hameed hat diese Lücke gefunden hat und bezeichnet sie als ein neues und effektives Werkzeug für Phisher, nennt es sogar Phishing 2.0. Der Trick dabei: Erst nach dem Klick wird eine Javascript-Funktion an das onclick-Event angebunden, die das href-Attribut, das man beim Überfahren des Links mit der Maus (mouseover) noch sieht, auf die Phishing-Seite umändert.

Die Funktion, die die href-Attribute austauscht, ist mit 100 Zeichen schon recht kurz und kann noch zum besseren Verstecken noch auf 67 Zeichen (fett) verkürzt werden:

// Unkomprimiert

var links = document.links;
for(i in links) {
  links[i].onclick = function(){
  this.href = ‘http://bit.ly/141nisR’;
  };
}

// Komprimiert (von 100 auf 67 Zeichen ohne den Link)

o=document.links;for(i in ){o[i].onclick=function(){this.href=’//bit.ly/141nisR’}}

Ein Beispiel für diesen Hack findet sich in Bilawal Hameeds Blogartikel „Hacking the <a> tag in 100 characters“.