Unicode als Phishing-Risiko: Warum „apple.com“ nicht gleich „apple.com“ ist

Florian Matthey
8

Wie schützt man sich vor Phishing? Eine Vorsichtsmaßnahme ist ein Blick in die Adresszeile des Browsers: Nur, wenn dort die bekannte Domain zu sehen ist, handelt es sich um die echte Website. Leider gibt es aber auch hier einen Phishing-Trick.

Unicode als Phishing-Risiko: Warum „apple.com“ nicht gleich „apple.com“ ist

Phishing-Angriffe: Ist „paypal.com“ immer auch „paypal.com“?

„Phishing“ sind Angriffe, die das Ziel haben, an persönliche Daten von Internet-Benutzern zu kommen – beispielsweise an Kreditkarten-Daten. Besonders beliebt sind Phishing-Angriffe auf Benutzer von Bezahldiensten wie PayPal: Angreifer senden beispielsweise Spam-E-Mails mit der Aufforderung, das PayPal-Konto zu aktualisieren. Der Link in der E-Mail führt dann zu einer Website, die wie PayPal.com aussieht, sich aber auf einem Server des Angreifers befindet. Wenn der Besucher hier nun seinen PayPal-Benutzernamen und das Passwort eingibt, können die Angreifer sich im Anschluss mit diesen Namen bei PayPal einloggen und Geschäfte tätigen.

Wer auf Nummer sicher gehen möchte, braucht eigentlich nur einen Blick in die Adresszeile des Browsers zu werfen: Steht dort die richtige Domain, also beispielsweise eben „paypal.com“, und handelt es sich um eine gesicherte HTTPS-Verbindung, dann kommuniziert der Browser auch mit dem „richtigen“ Server – sollte man zumindest meinen.

Google Tricks: Neue Funktionen, Easter Eggs und Hilfen für die Suchmaschine GIGA Bilderstrecke Google Tricks: Neue Funktionen, Easter Eggs und Hilfen für die Suchmaschine

Unicode-Feature in Browsern als Sicherheitsrisiko

Der Blogger Xudong Zheng hat jedoch ein Sicherheitsrisiko in mehreren Browsern entdeckt, durch das leider auch diese Vorsichtsmaßnahme nicht genügt: Mehrere Browser – Chrome, Firefox und Opera – bieten das eigentlich praktische Feature, Unicode-Zeichen auch in der Adresszeile als solche anzuzeigen. So ist es beispielsweise möglich, chinesische Schriftzeichen für die URL chinesischer Websites anzuzeigen. Der Browser „übersetzt“ eine ASCII-Zeichenfolge also in die nicht-lateinische Schrift.

421.533
Was bedeutet Phishing?

Nun gibt es aber Unicode-Zeichen, die zumindest in gängigen Schriftarten genauso aussehen wie lateinische Buchstaben –beispielsweise kyrillische Buchstaben. Zheng nennt das kyrillische „а“ (U+0430) als Beispiel, das wie das normale „a“ aussieht. Über einen so genannten „Homographischen Angriff“ ist es mit Hilfe dieser Zeichen möglich, die Adresszeile im Browser genau so aussehen zu lassen, als bestehe eine Verbindung zu einer bekannten Website.

Gefälschtes „apple.com“ demonstriert Risiko

Als Demonstration hat sich Zheng die Domain „xn--80ak6aa92e.com“ gesichert. Wer diese mit den genannten Browsern aufruft, sieht in der Adresszeile eine sichere HTTPS-Verbindung zum Server „apple.com“. In Firefox lässt sich die „Übersetzung“ in den Einstellungen – über „about:config“ und eine Veränderung von „network.IDN_show_punycode“ in „true“ – deaktivieren, in Chrome 58, das noch in diesem Monat erscheinen wird, soll dieses als „Bug“ eingestuftes Problem ebenfalls nicht mehr auftreten.

Zheng meint, dass Unternehmen sich entsprechende Unicode-Varianten ihrer Domains sichern sollten, um Angreifern gar nicht erst die Möglichkeit zu eröffnen. Und dass Mozilla und Opera ebenfalls Lösungen finden sollten. Wer Safari, Internet Explorer oder Edge benutzt, ist aktuell diesbezüglich ohnehin auf der sicheren Seite. Andere sollten einen Passwort-Manager verwenden, der auf den Trick nicht hereinfällt – oder zur Sicherheit URLs immer selbst eingeben oder bekannte Websites über Suchmaschinen aufrufen.

Quelle: Xudong Zheng

Weitere Themen: Mozilla Firefox, Internet Explorer 11, Microsoft Edge, Apple Safari, Google

Neue Artikel von GIGA TECH