• IT-Karriere:
  • Services:

Domain: Erneut Angriff über Punycode-Domains demonstriert

Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.

Artikel veröffentlicht am ,
Das ist nicht Apple.com.
Das ist nicht Apple.com. (Bild: Hauke Gierow/Golem.de)

Googles Entwicklerteam hat angekündigt, in der Chrome-Version 58 einen Schutz gegen Unicode-Phishing einführen zu wollen. Hintergrund ist ein erneuter Proof-of-Concept, der die Schwächen auch moderner Browser aufzeigt. Auch bei Mozilla wird aktuell diskutiert, wie ein solcher Schutz aussehen könnte. Bei dieser Art von Angriff werden Domains statt durch ASCII-Zeichen durch Zeichen aus einem anderen Zeichensatz repräsentiert, wie die Wordfence-Macher demonstriert haben.

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. PROSOZ Herten GmbH, Herten (Home-Office)

Tatsächlich gibt es bereits Schutzmechanismen gegen sogenannte Homograph-Angriffe. Diese greifen aber nicht, wenn alle Buchstaben der URL mit Zeichen aus einem anderen Alphabet, etwa kyrillisch, ersetzt werden. Aus Apple.com wird so zum Beispiel "xn--80ak6aa92e.com", für den Nutzer ist der Unterschied in der Ansicht in der Adresszeile aber tatsächlich kaum wahrnehmbar. Sind die Domains nicht komplett in einem anderen Zeichensatz registriert, wird die Domain in Punycode angezeigt. Diesen Unterschied machen sich Phishing-Kampagnen zunutze.

Täuschung mit echtem Zertifikat

Moderne Phishing-Kampagnen registrieren zudem noch gültige Zertifikate, etwa über Let's Encrypt, so dass Nutzer von einer legitimen Webseite ausgehen. Der einzige, sichtbare Unterschied zur Original-Seite von Apple wäre in dem Fall, dass die gefälschte Seite nicht über ein Zertifikat mit erweiterter Identifikationsprüfung (EV-Zertifikat) verfügt und somit keine grün eingefärbte Adresszeile bekommt.

Chrome wird in der kommenden Version 58 einen entsprechenden Fix einbauen, bei Mozilla wird derzeit diskutiert, wie mit dem Problem umgegangen werden soll. Die Entwickler waren bisher der Ansicht, dass die Pflicht bei den Webseitenbetreibern läge, selbst entsprechende Unicode-Domains zu kaufen, damit diese nicht für betrügerische Zwecke genutzt werden können. Der Versuch einer "Whitelist" sei nicht skalierbar gewesen.

Wer sich selbst vor entsprechenden Angriffen schützen will, kann im Firefox unter about:config die Einstellung für "network.IDN_show_punycode" auf "true" setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zum iPhone 12 bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Open-Source-Mediaplayer
    "Die Deutschen werden VLC wohl zerstören"
  2. 2. Generation MBUX
    Neue Mercedes C-Klasse mit aufgerüstetem Entertainmentsysten
  3. Next-Gen-Konsolen
    Das erste Quartal mit Playstation 5 und Xbox Series X/S
  4. Mac Mini und Macbook Air
    Nein, die SSDs von M1-Macs gehen nicht schneller kaputt
  5. Macbook Air und Co.
    Verlötete SSDs sind eine dumme Idee
Anzeige
Spiele-Angebote
  3. 49,99€
  4. 16,99€
Kommentarübersicht
Re: Noch 'ne einfache Lösung
My1 20. Apr 2017

in dem fall mag es noch funktionieren, aber wenn das zeichen auch so aussehen würde wie...

Re: Gott sei Dank verwende ich Chrome und nicht...
My1 20. Apr 2017

naja was ist einfacher? wenn ein paar browser das richtig machen oder wenn ein...

Re: Ich versteh's nicht
My1 19. Apr 2017

so lange gibts die IDNs schon? lol. und es ist 12 Jahre später. nicht nur 10.

Re: Welche Hausaufgaben?
My1 19. Apr 2017

die browserhersteller und die registries der TLDs die sollten sowas eig. mMn gar nicht...

einfache lösung.
My1 19. Apr 2017

Genauso wie bei der Edge seite nutzt auch diese apple seite Kyrillische zeichen in einer...

Folgen Sie uns
       
VLC-Gründer Jean-Baptiste Kempf im Interview

Wir haben uns mit dem Präsidenten der VideoLAN-Nonprofit-Organisation unterhalten.

VLC-Gründer Jean-Baptiste Kempf im Interview Video aufrufen
Passwort
Passwortmanager: Das letzte Mal Lastpass verwenden
Passwortmanager
Das letzte Mal Lastpass verwenden

Der Passwortmanager Lastpass schränkt seinen kostenlosen Dienst massiv ein. Wir zeigen Alternativen, die obendrein sicherer sind.
Von Moritz Tremmel

  1. Autofill Microsoft testet Passwortmanager
  2. Sicherheitslücke Admin-Passwort für Rettungsdienst-System ungeschützt im Netz
  3. Sicherheitslücke 800 Zugangsdaten waren auf CSU-Webserver auslesbar
Android 12
Android 12: Endlich Android-Updates!
Android 12
Endlich Android-Updates!

Google kann selbst Updates für die Android Runtime verteilen. Damit werden echte Android-Updates greifbar.
Von Sebastian Grüner

  1. Google Android 12 kommt mit einer Gaming-Toolbar
  2. Smartphones Verstecktes neues Design in Android 12
  3. Android Google präsentiert erste Vorschau von Android 12
Star Trek
Star-Trek-Experte: Star Trek zeigt uns eine Zukunft, die erstrebenswert ist
Star-Trek-Experte
"Star Trek zeigt uns eine Zukunft, die erstrebenswert ist"

Hubert Zitt gilt als einer der größten Star-Trek-Experten Deutschlands. Er schätzt Discovery und Picard ebenso wie die alten Serien - und hat eine Sternwarte als R2-D2 bemalt.
Ein Interview von Tobias Költzsch

  1. Star Trek Kobayashi-Maru-Test als Browserspiel verfügbar
  2. Star Trek: Lower Decks Für Trekkies die beste aktuelle Star-Trek-Serie
  3. Star Trek: Discovery 3. Staffel Zwischendurch schwer zu ertragen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /