Das Unicode-Uebel in Domain Names

Wie erkennt man eine Phishing Attacke wenn man beispielsweise per E-Mail einen Link bekommt?

Genau, bevor man diesen oeffnet schaut man sich vielleicht die Linkvorschau des Mail Programms an, ob die Webseiten Adresse vertraut und richtig ausschaut, oder? Wenn man dann den Link angeklickt hat und sich die gewueschte Webseite oeffnet ist meist schon aller Zweifel, auf eine Phishing Webseite gelangt zu sein, verschwunden. Ist man ein bisschen paranoider schaut man sich vielleicht die Adresse nochmals in der Adressleiste des Browsers an und ueberprueft ein allfaelliges SSL Zertifikat.

Doch was waere wenn die Webseiten Adresse weder in der Vorschau noch der Adressleiste des Browser noch im ausgestellten SSL Zertifikat visuell fuer einen Menschen von einer Phishing-Seite nicht zu unterscheiden waere?

Kennen Sie die Firma Alexa Internet Inc (Alexa)? Alexa ist eine Tochterfirma von Amazon.com, die Daten ueber Seitenabrufe von Webseiten sammelt, analysiert und kommerziell zur Verfuegung stellt.

Tun Sie mir den Gefallen und besuchen Sie die Firmen Website unter alexa.com und anschliessend folgende Website: alexa.com. Sicher haben Sie den unterschiedlichen Seiteninhalt bemerkt, doch haben Sie auch den feinen Unterschied in der Adressleiste entdeckt?


alexa.com firefox addressbar comparison

Was geht da vor sich? Ist das wirklich die gleiche Adresse? Ist da eine Malware mit im Spiel?

Nein, da ist weder ein Virus im Spiel noch sind das die gleichen Adressen, die da in den Adressleisten stehen.

Was auf alexa.com zu sehen ist, ist eine Demonstration eines sogenannten IDN Homograph Attacks. Diese Attacke zeigt, dass es moeglich ist, mit kluger Auswahl von Zeichen aus einem fremden Alphabet eine Domain (URL) zu gestalten die einer anderen visuell sehr aehnelt.

Dies wurde mit die Implementation von Internationalized domain names (IDN) ermoeglicht, welche es erlaubt den ganzen Unicode-Zeichensatz in Domains zu gebrauchen. Der Vorteil darin ist, dass Webaddressen auch in anderen Sprachen, als Englisch, mit nativen Zeichen angezeigt werden koennen. Das Problematische jedoch ist, dass zwischen gewissen Zeichen aus verschiedenen Alphabeten innerhalb des Unicode-Zeichensatzes bei den meisten Schriftarten visuell kaum mehr unterschieden werden kann. Oder dann werden fremde, nicht unterstuetzte Zeichen gar mit den unterstuetzen aehnlich aussehenden komplett ersetzt, was eine Unterscheidung unmoeglich macht. Beispielsweise ist das kleine a im latinischen Alphabet kaum vom kleinen kyrillischen а zu unterscheiden oder auch das latinische kleine e vom kyrillischen kleinen е.

"Homograph Attacks sind nichts Neues - Wir hatten dieses Problem schon vor zehn Jahren: Es wurde versucht Internet-Benutzer auf gefaelschte Webseiten zu locken indem ein klein geschriebenes 'l' einem gross geschriebenen 'I' ersetzt worden ist. Ein Benutzer sollte wichtige URLs stets von Hand eintippen!", befragter Informations-Sicherheitsberater

Bereits bei der Einfuehrung von IDN im Jahr 1998 wurden solche Attacken vermutet und seit 2001 sind diese Homograph Attacks auch den Browserherstellern bekannt.

Weil jedoch die Unterscheidung zwischen legitimen und Phishing Domain Names fuer die Browser fast unmoeglich ist, gab es immer wieder Probleme beim Versuch diese "Sicherheitsluecke" in den Browsern zu beheben. Einige Browserhersteller, wie z.B. Mozilla, weisen auch die Schuld von sich, fuer dieses Phishingriskio, verantwortlich zu sein. Sie argumentieren damit, dass die Domain Name Registrars dafuer verantwortlich seien nur Domain Names zu vergeben die visuell nicht mit einer bereits registrierten verwechselt werden koennten.

Ende Januar 2017 hat der chinesische Security Researcher Xudong Zheng das Interesse der Browserhersteller, dieses Phishingrisiko zu minimieren, wieder geweckt. Daraufhin wurde am 19 April 2017 die Version 58 von Google Chrome veroeffentlicht, welche Adressen mit Verwechselungsrisiko mit Punycode kodiert, sodass diese nur im ASCII Zeichensatz darstellt werden. So wird aus der risikobehafteten Adresse alexa.com die Adresse xn--80aao8dw1b.com, welche nicht mehr so einfach verwechselt wird.

Andere Browser wie Mozilla Firefox oder Opera warten immer noch auf einen entsprechenden Fix. Manche dieser Browser, wie beispielsweise Firefox, bieten ihren Benutzern die Moeglichkeit die Webadressen in der Adressleiste immer Punycode kodiert anzuzeigen, was schon viel hilft eine Phishing Attacke fruehzeitig zu erkennen und die Webseite zu verlassen.


unicode security phishing |