• IT-Karriere:
  • Services:

Domain: Erneut Angriff über Punycode-Domains demonstriert

Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.

Artikel veröffentlicht am ,
Das ist nicht Apple.com.
Das ist nicht Apple.com. (Bild: Hauke Gierow/Golem.de)

Googles Entwicklerteam hat angekündigt, in der Chrome-Version 58 einen Schutz gegen Unicode-Phishing einführen zu wollen. Hintergrund ist ein erneuter Proof-of-Concept, der die Schwächen auch moderner Browser aufzeigt. Auch bei Mozilla wird aktuell diskutiert, wie ein solcher Schutz aussehen könnte. Bei dieser Art von Angriff werden Domains statt durch ASCII-Zeichen durch Zeichen aus einem anderen Zeichensatz repräsentiert, wie die Wordfence-Macher demonstriert haben.

Stellenmarkt
  1. August Storck KG, Halle (Westf.)
  2. SysTec Systemtechnik und Industrieautomation GmbH, Glessen (Nähe Köln)

Tatsächlich gibt es bereits Schutzmechanismen gegen sogenannte Homograph-Angriffe. Diese greifen aber nicht, wenn alle Buchstaben der URL mit Zeichen aus einem anderen Alphabet, etwa kyrillisch, ersetzt werden. Aus Apple.com wird so zum Beispiel "xn--80ak6aa92e.com", für den Nutzer ist der Unterschied in der Ansicht in der Adresszeile aber tatsächlich kaum wahrnehmbar. Sind die Domains nicht komplett in einem anderen Zeichensatz registriert, wird die Domain in Punycode angezeigt. Diesen Unterschied machen sich Phishing-Kampagnen zunutze.

Täuschung mit echtem Zertifikat

Moderne Phishing-Kampagnen registrieren zudem noch gültige Zertifikate, etwa über Let's Encrypt, so dass Nutzer von einer legitimen Webseite ausgehen. Der einzige, sichtbare Unterschied zur Original-Seite von Apple wäre in dem Fall, dass die gefälschte Seite nicht über ein Zertifikat mit erweiterter Identifikationsprüfung (EV-Zertifikat) verfügt und somit keine grün eingefärbte Adresszeile bekommt.

Chrome wird in der kommenden Version 58 einen entsprechenden Fix einbauen, bei Mozilla wird derzeit diskutiert, wie mit dem Problem umgegangen werden soll. Die Entwickler waren bisher der Ansicht, dass die Pflicht bei den Webseitenbetreibern läge, selbst entsprechende Unicode-Domains zu kaufen, damit diese nicht für betrügerische Zwecke genutzt werden können. Der Versuch einer "Whitelist" sei nicht skalierbar gewesen.

Wer sich selbst vor entsprechenden Angriffen schützen will, kann im Firefox unter about:config die Einstellung für "network.IDN_show_punycode" auf "true" setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (heute u. a. Panasonic-TVs, z. B. Panasonic TX-50GXW804 für 579€ statt 669€ im Vergleich)
  2. 64,90€ (Bestpreis!)
  3. 59,90€ + 5,79€ Versand (Vergleichspreis 83,65€ inkl. Versand)
  4. (u. a. Creative Sound BlasterX G6 für 99,90€ + 6,79€ Versand statt 144,60€ inkl. Versand im...

My1 20. Apr 2017

in dem fall mag es noch funktionieren, aber wenn das zeichen auch so aussehen würde wie...

My1 20. Apr 2017

naja was ist einfacher? wenn ein paar browser das richtig machen oder wenn ein...

My1 19. Apr 2017

so lange gibts die IDNs schon? lol. und es ist 12 Jahre später. nicht nur 10.

My1 19. Apr 2017

die browserhersteller und die registries der TLDs die sollten sowas eig. mMn gar nicht...

My1 19. Apr 2017

Genauso wie bei der Edge seite nutzt auch diese apple seite Kyrillische zeichen in einer...


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
    •  /