Gefälschte Domainnamen mittels Unicode

Phishing-Risiko Punycode-Domains

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Auch aufmerksame Anwender haben schlechte Karten gegen Phishing, wenn sich im Browser die gefälschte URL nicht mehr vom Original unterscheiden lässt.
Auch aufmerksame Anwender haben schlechte Karten gegen Phishing, wenn sich im Browser die gefälschte URL nicht mehr vom Original unterscheiden lässt. (© carlos_bcn - stock.adobe.com)

Phishing ist alt, funktioniert für Cyberkriminelle aber immer noch blendend. Ein guter Schutz gegen Phishing sind aufmerksame Anwender, die bemerken wenn ein angeblicher Paypal-Link nicht zur Paypal-Webseite zeigt. Was aber, wenn Angreifer den User mit einer gefälschten Domain austricksen könnten, die sich augenscheinlich genauso schreibt wie die echte? Genau das schaffen Angreifer mit Punycode-Domains und längst nicht jeder Browser schützt Anwender davor.

Technisch ist Punycode ein legitimes Kodierungsverfahren zum Umwandeln von Unicode-Zeichenketten in ASCII-kompatible Zeichenketten. Die Nutzung von Punycode-Domains im Phishing-Umfeld ist nicht neu. Aber in Kombination mit einer Köder-E-Mail lassen sie deutlich besser „Fangerfolge“ erzielen, als mit althergebrachten Varianten.

Grundsätzlich geht es beim Phishing darum, den Anwender zu Angabe persönlicher Angaben und/oder Logindaten zu verleiten, die für eine missbräuchliche Nutzung (Bestellen von Waren, Anfordern von Services etc.) verwendet werden. Gelingt dies beispielsweise für einen Online-Bankzugang, inkl. einer TAN-Nummer, kann dies zu spürbaren finanziellen Schäden beim Anwender führen.

Wobei ein Phishing-Angriff, vereinfacht dargestellt, in mehreren Schritten abläuft.

  • 1. Der Anwender erhält eine E-Mail die ihn zu einer Aktion verleiten soll, wie beispielsweise das klicken auf einem beigefügten Link. Dies wird forciert, indem man von illegalen Aktivitäten berichtet, Gratis-Aktionen avisiert oder einfach um die Überprüfung von Login-Daten anfordert (erforderlich aufgrund einer Systemumstellung).
  • 2. Klickt der Anwender auf den Link, wird er zu einer Webseite geleitet, die optisch der Originalseite des Service (Online-Bank, Bezahldienst, Web-Shopping etc.) entspricht.
  • 3. Gibt der User nun seine Daten ein, werden dies abgefangen und an den Phisher zur weiteren missbräuchlichen Nutzung gesendet.
  • 4. Der Anwender wird mit einer Fehlermeldung abgespeist oder erhält eine positive Bestätigung und wird auf die reale Seite des Service weitergeleitet.

Erfreulicherweise durchschauen Anwender oft derartige Angriffe und reagieren nicht darauf. Die bekannten Schwachstellen bei Phishing-Angriffen wie fehlende persönliche Daten (Anrede), grammatikalische Fehler (…dass Ihre E-Mail erschien auf der offiziellen Gewinnerliste…) oder Domainnamen im Link, die vor der Domain-Endung abweichend sind zum erwarteten Absender (firma.com -> firma.euxyz.com), erleichtern die Erkennung.

Doch mit Punycode, ziehen die Phisher einen Joker aus dem Ärmel, der Chancen auf Identifikation von Phishing-E-Mails deutlich schwerer werden lässt.

Praxistipps für Mitarbeiter gegen Spam und Phishing

Security-Awareness-Tipps

Praxistipps für Mitarbeiter gegen Spam und Phishing

15.12.17 - Ähnlich wie beim Erste-Hilfe-Kurs sollten Unternehmen ihre Mitarbeiter auch regelmäßig zu Spam- und Phishing-Thematiken schulen, um den Mitarbeiter als schwächstes Glied in der Verteidigungskette zu stärken. Dabei ist die Technik selbst oft ein Problem, denn Je effektiver Spam-Filter und Anti-Phishing-Routinen arbeiten, desto seltener muss der Mitarbeiter sich selbst Gedanken machen, ob er gerade das Ziel einer Phishingattacke ist. lesen

Legaler Missbrauch

Mit der Internationalisierung des Internets erkannte man schnell, dass der genutzte ASCII-Zeichensatz den globalen Ansprüchen nicht gerecht werden würde. Denn im ursprünglichen Domain-Name-System waren nur die 26 lateinischen Buchstaben, den Ziffern 0-9 und dem Bindestrich (Minus-Zeichen) erlaubt. In Deutschland übliche Umlaute wie ü, ä, ö und ß konnten nicht verwendet werden. Bei anderen Sprachen aus dem asiatischen Großraum sind die Darstellungseinschränkungen noch umfassender. Mit dem Standard IDAN (Internationalizing Domain Names in Applications) wurde jedoch ein Lösungsweg geschaffen. Am Ende steht dann das Kodierverfahren Punycode (RFC 3492), welches platzsparend andere Zeichensätze nutzt bzw. einbindet.

Der Trick, den sich Phisher nun zu eigen machen besteht darin, dass sie eine Punycode-Domain registrieren (der Name beginnen immer mit “ xn--“), die in der Darstellung im Browser aber optisch so angezeigt wird, als würde es ein bekannter Domainname. In Wahrheit sieht aber nur die optische Darstellung so aus, die URL ist eine ganz andere. Diesem optischen Problem begegnen wir beispielsweise auch bei der Eingabe von Lizenznummern (oder anderen Verifikationen), wenn ein O (Großbuchstabe O), eine 0 (Ziffern 0), eine I (Großbuchstabe i) oder ein l (Kleinbuchstabe L) einzugeben sind.

Der Student der Johns Hopkins University Xudong Zheng stellt in einem Artikel einen cleveren „Proof-Of-Concept“-Angriff“ (POC) vor, der sich dieser Schwachstelle bedient und als Homographischer Angriff bezeichnet wird. Dazu registrierte er den Domainnamen „xn--80ak6aa92e.com“, der in der Browser-Ansicht als Domainname www.apple.com dargestellt wird. Diesen POC kann man selbst via: https://www.аррӏе.com/ bzw. https://www.xn--80ak6aa92e.com austesten.

Browser-Schutz

Je nach verwendetem Browser und genutzter Version, wird dabei der Link entweder als www.apple.com oder als www.xn--80ak6aa92e.com am unteren Rand des Browser-Fenster dargestellt, wenn man mit der Maus über den Link fahrt. Mit dem Edge-Browser von Microsoft und Googles Chrome wird der homographische Angriff enttarnt – während Firefox auch in der aktuellen Version 58.0 diesen in der Standardeinstellung noch immer nicht enttarnt. Jedoch kann man diese Voreinstellung ändern. Der Workaround dazu besteht darin mit „about:config“ die Settingswerte anzuzeigen und den Wert für „network.IDN_show_punycode“ von FALSE auf TRUE zu ändern (per Maus-Doppelklick auf die Zeile).

Generell sollte man darauf achten, aktuelle Browserversionen zu nutzen, die das Risiko der homographische Angriff vorab durch die Punycode-Anzeige reduzieren.

Tools zur Demonstration

Sieht man sich als Security-Administrator oder Security-Awareness-Beauftragter vor das Problem gestellt, derartige Informationen verständlich und kreativ an die Mitarbeiter weiterzugeben, so bieten sich hier mehrere Optionen an.

Letztendlich sollte man sich aber auch im Klaren darüber sein, das eine einmalige Information oder Schulung nicht ausreichen wird. Der korrekte Umgang mit Links ist etwas, das sich nur im Laufe der Zeit erlernen lässt – wobei eine Lernbereitschaft beim Anwender wünschenswert ist.

Lessons Learned

Aber nicht nur der Anwender muss lernen, sondern auch das Security-Personal. Denn auch die Qualität und das Verhalten der genutzten (Security-)Software sollte periodisch überprüft werden.

  • Überprüfen Sie, wie sich Ihr Malwareschutz am SMTP-Gateway verhält, wenn er E-Mails mit eingebundenem Punycode-URLs analysiert
  • Verifizieren Sie, wie sich Ihr Schutzsystem auf Ihrem http-Gateway bei einem Verbindungsaufbau zu einer Punycode-Domain verhält
  • Checken Sie, wie ich ihr lokales E-Mail-System verhält, wenn E-Mails mit einem Punycode-URL verarbeitet werden
  • Prüfen Sie, wie sich Ihre Office-Software verhält, wenn Links in einer Office-Datei auf eine Punycode-Domain zeigen.

Und letztendlich – die wohl wichtigste Empfehlung: Erinnern Sie Ihre User immer und immer wieder daran, auf keine Links in Dokumenten oder E-Mails zu klicken, sondern auf gespeicherte Favoriten zurückzugreifen oder URLs von Hand einzugeben. Denn Links könnten einen Köder enthalten, an dem man sich verschluckt und dafür bezahlen muss.

Quelle: SemperVideo - YouTube.com

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45107975 / Sicherheitslücken)