Domain: Erneut Angriff über Punycode-Domains demonstriert

Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.

Artikel veröffentlicht am ,
Das ist nicht Apple.com.
Das ist nicht Apple.com. (Bild: Hauke Gierow/Golem.de)

Googles Entwicklerteam hat angekündigt, in der Chrome-Version 58 einen Schutz gegen Unicode-Phishing einführen zu wollen. Hintergrund ist ein erneuter Proof-of-Concept, der die Schwächen auch moderner Browser aufzeigt. Auch bei Mozilla wird aktuell diskutiert, wie ein solcher Schutz aussehen könnte. Bei dieser Art von Angriff werden Domains statt durch ASCII-Zeichen durch Zeichen aus einem anderen Zeichensatz repräsentiert, wie die Wordfence-Macher demonstriert haben.

Stellenmarkt
  1. Consultant Anforderungsmanagement (m/w/d)
    operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg
  2. IT-Systemadministrator (m/w/d)
    Hays AG, Augsburg
Detailsuche

Tatsächlich gibt es bereits Schutzmechanismen gegen sogenannte Homograph-Angriffe. Diese greifen aber nicht, wenn alle Buchstaben der URL mit Zeichen aus einem anderen Alphabet, etwa kyrillisch, ersetzt werden. Aus Apple.com wird so zum Beispiel "xn--80ak6aa92e.com", für den Nutzer ist der Unterschied in der Ansicht in der Adresszeile aber tatsächlich kaum wahrnehmbar. Sind die Domains nicht komplett in einem anderen Zeichensatz registriert, wird die Domain in Punycode angezeigt. Diesen Unterschied machen sich Phishing-Kampagnen zunutze.

Täuschung mit echtem Zertifikat

Moderne Phishing-Kampagnen registrieren zudem noch gültige Zertifikate, etwa über Let's Encrypt, so dass Nutzer von einer legitimen Webseite ausgehen. Der einzige, sichtbare Unterschied zur Original-Seite von Apple wäre in dem Fall, dass die gefälschte Seite nicht über ein Zertifikat mit erweiterter Identifikationsprüfung (EV-Zertifikat) verfügt und somit keine grün eingefärbte Adresszeile bekommt.

Chrome wird in der kommenden Version 58 einen entsprechenden Fix einbauen, bei Mozilla wird derzeit diskutiert, wie mit dem Problem umgegangen werden soll. Die Entwickler waren bisher der Ansicht, dass die Pflicht bei den Webseitenbetreibern läge, selbst entsprechende Unicode-Domains zu kaufen, damit diese nicht für betrügerische Zwecke genutzt werden können. Der Versuch einer "Whitelist" sei nicht skalierbar gewesen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Wer sich selbst vor entsprechenden Angriffen schützen will, kann im Firefox unter about:config die Einstellung für "network.IDN_show_punycode" auf "true" setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Victorian Big Battery
Tesla-Speicher brannte vier Tage lang

Viel Aufwand war nötig, um das brennende Akku-Modul zu löschen.

Victorian Big Battery: Tesla-Speicher brannte vier Tage lang
Artikel
  1. Android: Googles Tensor-SoC ist eine halbe Mogelpackung
    Android
    Googles Tensor-SoC ist eine halbe Mogelpackung

    Für seinen ersten eigenen Smartphone-Chip liefert Google ausschließlich Erwartbares und dämpft damit sämtliche Hoffnungen an besseren Support und gute Linux-Treiber.
    Ein IMHO von Sebastian Grüner

  2. Apple-Tastatur: Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich
    Apple-Tastatur
    Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich

    Apple verkauft das Magic Keyboard mit Fingerabdruckscanner Touch ID nun auch einzeln - mit und ohne Ziffernblock.

  3. Windows 365: Der mietbare Cloud-PC mit Windows kann bestellt werden
    Windows 365
    Der mietbare Cloud-PC mit Windows kann bestellt werden

    Microsoft startet mit Windows 365 und gibt Preise für den Cloud-PC bekannt. Die VMs sollen wie physische Windows-PCs funktionieren.

My1 20. Apr 2017

in dem fall mag es noch funktionieren, aber wenn das zeichen auch so aussehen würde wie...

My1 20. Apr 2017

naja was ist einfacher? wenn ein paar browser das richtig machen oder wenn ein...

My1 19. Apr 2017

so lange gibts die IDNs schon? lol. und es ist 12 Jahre später. nicht nur 10.

My1 19. Apr 2017

die browserhersteller und die registries der TLDs die sollten sowas eig. mMn gar nicht...

My1 19. Apr 2017

Genauso wie bei der Edge seite nutzt auch diese apple seite Kyrillische zeichen in einer...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • C27RG54FQU, 27 Zoll, curved 203,55€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 15% auf Xiaomi-Technik • Hisense UHD-Fernseher • Saturn: 1 Produkt zahlen, 2 erhalten [Werbung]
    •  /