:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gefälschte Domainnamen mittels Unicode Phishing-Risiko Punycode-Domains
Phishing ist alt, funktioniert für Cyberkriminelle aber immer noch blendend. Ein guter Schutz gegen Phishing sind aufmerksame Anwender, die bemerken wenn ein angeblicher Paypal-Link nicht zur Paypal-Webseite zeigt. Was aber, wenn Angreifer den User mit einer gefälschten Domain austricksen könnten, die sich augenscheinlich genauso schreibt wie die echte? Genau das schaffen Angreifer mit Punycode-Domains und längst nicht jeder Browser schützt Anwender davor.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Technisch ist Punycode ein legitimes Kodierungsverfahren zum Umwandeln von Unicode-Zeichenketten in ASCII-kompatible Zeichenketten. Die Nutzung von Punycode-Domains im Phishing-Umfeld ist nicht neu. Aber in Kombination mit einer Köder-E-Mail lassen sie deutlich besser „Fangerfolge“ erzielen, als mit althergebrachten Varianten.
Grundsätzlich geht es beim Phishing darum, den Anwender zu Angabe persönlicher Angaben und/oder Logindaten zu verleiten, die für eine missbräuchliche Nutzung (Bestellen von Waren, Anfordern von Services etc.) verwendet werden. Gelingt dies beispielsweise für einen Online-Bankzugang, inkl. einer TAN-Nummer, kann dies zu spürbaren finanziellen Schäden beim Anwender führen.
:quality(80)/images.vogel.de/vogelonline/bdb/1346900/1346909/original.jpg "Der informative Artikel von Xudong Zheng über Punycode mit dem POC, der zu einer „gefälschten“ Apple-Webseite führt, via Punycode-Domain.")
:quality(80)/images.vogel.de/vogelonline/bdb/1346900/1346910/original.jpg "Maus positioniert auf den POC-Link mit URL-Anzeige (links unten) im Browser-Fenster bei Firefox")
:quality(80)/images.vogel.de/vogelonline/bdb/1346900/1346911/original.jpg "Warnung von Firefox, nach Eingabe von „about:config“, das die Modifikation von der Werte auf „Eigenes Risiko“ erfolgt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1346900/1346912/original.jpg "Default-Wert für „network.IDN_show_punycode“ steht auf FALSE. Für die Anzeige von Punycode-Domains in der „realen Schreibweise“ muss dieser Wert auf TRUE gesetzt werden.")
Wobei ein Phishing-Angriff, vereinfacht dargestellt, in mehreren Schritten abläuft.
- 1. Der Anwender erhält eine E-Mail die ihn zu einer Aktion verleiten soll, wie beispielsweise das klicken auf einem beigefügten Link. Dies wird forciert, indem man von illegalen Aktivitäten berichtet, Gratis-Aktionen avisiert oder einfach um die Überprüfung von Login-Daten anfordert (erforderlich aufgrund einer Systemumstellung).
- 2. Klickt der Anwender auf den Link, wird er zu einer Webseite geleitet, die optisch der Originalseite des Service (Online-Bank, Bezahldienst, Web-Shopping etc.) entspricht.
- 3. Gibt der User nun seine Daten ein, werden dies abgefangen und an den Phisher zur weiteren missbräuchlichen Nutzung gesendet.
- 4. Der Anwender wird mit einer Fehlermeldung abgespeist oder erhält eine positive Bestätigung und wird auf die reale Seite des Service weitergeleitet.
Erfreulicherweise durchschauen Anwender oft derartige Angriffe und reagieren nicht darauf. Die bekannten Schwachstellen bei Phishing-Angriffen wie fehlende persönliche Daten (Anrede), grammatikalische Fehler (…dass Ihre E-Mail erschien auf der offiziellen Gewinnerliste…) oder Domainnamen im Link, die vor der Domain-Endung abweichend sind zum erwarteten Absender (firma.com -> firma.euxyz.com), erleichtern die Erkennung.
Doch mit Punycode, ziehen die Phisher einen Joker aus dem Ärmel, der Chancen auf Identifikation von Phishing-E-Mails deutlich schwerer werden lässt.
:quality(80)/images.vogel.de/vogelonline/bdb/1330600/1330650/original.jpg "Anders als für Software, gibt es für Menschen keine Security-Patches die Schwachstellen sofort beseitigen - da hilft nur immer wieder üben. (adiruch na chiangmai - stock.adobe.com)")
Security-Awareness-Tipps
Praxistipps für Mitarbeiter gegen Spam und Phishing
Legaler Missbrauch
Mit der Internationalisierung des Internets erkannte man schnell, dass der genutzte ASCII-Zeichensatz den globalen Ansprüchen nicht gerecht werden würde. Denn im ursprünglichen Domain-Name-System waren nur die 26 lateinischen Buchstaben, den Ziffern 0-9 und dem Bindestrich (Minus-Zeichen) erlaubt. In Deutschland übliche Umlaute wie ü, ä, ö und ß konnten nicht verwendet werden. Bei anderen Sprachen aus dem asiatischen Großraum sind die Darstellungseinschränkungen noch umfassender. Mit dem Standard IDAN (Internationalizing Domain Names in Applications) wurde jedoch ein Lösungsweg geschaffen. Am Ende steht dann das Kodierverfahren Punycode (RFC 3492), welches platzsparend andere Zeichensätze nutzt bzw. einbindet.
Der Trick, den sich Phisher nun zu eigen machen besteht darin, dass sie eine Punycode-Domain registrieren (der Name beginnen immer mit “ xn--“), die in der Darstellung im Browser aber optisch so angezeigt wird, als würde es ein bekannter Domainname. In Wahrheit sieht aber nur die optische Darstellung so aus, die URL ist eine ganz andere. Diesem optischen Problem begegnen wir beispielsweise auch bei der Eingabe von Lizenznummern (oder anderen Verifikationen), wenn ein O (Großbuchstabe O), eine 0 (Ziffern 0), eine I (Großbuchstabe i) oder ein l (Kleinbuchstabe L) einzugeben sind.
Der Student der Johns Hopkins University Xudong Zheng stellt in einem Artikel einen cleveren „Proof-Of-Concept“-Angriff“ (POC) vor, der sich dieser Schwachstelle bedient und als Homographischer Angriff bezeichnet wird. Dazu registrierte er den Domainnamen „xn--80ak6aa92e.com“, der in der Browser-Ansicht als Domainname www.apple.com dargestellt wird. Diesen POC kann man selbst via: https://www.аррӏе.com/ bzw. https://www.xn--80ak6aa92e.com austesten.
Browser-Schutz
Je nach verwendetem Browser und genutzter Version, wird dabei der Link entweder als www.apple.com oder als www.xn--80ak6aa92e.com am unteren Rand des Browser-Fenster dargestellt, wenn man mit der Maus über den Link fahrt. Mit dem Edge-Browser von Microsoft und Googles Chrome wird der homographische Angriff enttarnt – während Firefox auch in der aktuellen Version 58.0 diesen in der Standardeinstellung noch immer nicht enttarnt. Jedoch kann man diese Voreinstellung ändern. Der Workaround dazu besteht darin mit „about:config“ die Settingswerte anzuzeigen und den Wert für „network.IDN_show_punycode“ von FALSE auf TRUE zu ändern (per Maus-Doppelklick auf die Zeile).
Generell sollte man darauf achten, aktuelle Browserversionen zu nutzen, die das Risiko der homographische Angriff vorab durch die Punycode-Anzeige reduzieren.
Tools zur Demonstration
Sieht man sich als Security-Administrator oder Security-Awareness-Beauftragter vor das Problem gestellt, derartige Informationen verständlich und kreativ an die Mitarbeiter weiterzugeben, so bieten sich hier mehrere Optionen an.
- Nutzen der Verlinkungen im Blogpost von Xudong Zheng
- Abspielen des SemperVideos über Punycode (Video am Ende des Artikels)
- Präsentation des „Homoglyph Attack Generator“ zur Visualisierung der optischen Darstellung der unterschiedlichen Zeichensätze für Anwender
- Konfrontieren Sie den Anwender mit den aktuellen Daten zu Phishing & Spam. Nutzen Sie dazu beispielsweise den „Phishing Activity Trends Report 1 Halbjahr 2017“ der überregionalen „Anti-Phishing Working Group“.
Letztendlich sollte man sich aber auch im Klaren darüber sein, das eine einmalige Information oder Schulung nicht ausreichen wird. Der korrekte Umgang mit Links ist etwas, das sich nur im Laufe der Zeit erlernen lässt – wobei eine Lernbereitschaft beim Anwender wünschenswert ist.
Lessons Learned
Aber nicht nur der Anwender muss lernen, sondern auch das Security-Personal. Denn auch die Qualität und das Verhalten der genutzten (Security-)Software sollte periodisch überprüft werden.
- Überprüfen Sie, wie sich Ihr Malwareschutz am SMTP-Gateway verhält, wenn er E-Mails mit eingebundenem Punycode-URLs analysiert
- Verifizieren Sie, wie sich Ihr Schutzsystem auf Ihrem http-Gateway bei einem Verbindungsaufbau zu einer Punycode-Domain verhält
- Checken Sie, wie ich ihr lokales E-Mail-System verhält, wenn E-Mails mit einem Punycode-URL verarbeitet werden
- Prüfen Sie, wie sich Ihre Office-Software verhält, wenn Links in einer Office-Datei auf eine Punycode-Domain zeigen.
Und letztendlich – die wohl wichtigste Empfehlung: Erinnern Sie Ihre User immer und immer wieder daran, auf keine Links in Dokumenten oder E-Mails zu klicken, sondern auf gespeicherte Favoriten zurückzugreifen oder URLs von Hand einzugeben. Denn Links könnten einen Köder enthalten, an dem man sich verschluckt und dafür bezahlen muss.
Quelle: SemperVideo - YouTube.com
(ID:45107975)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")