Originelle Phishing-Methode: So können Hacker apple.com simulieren

Ein chinesischer Blogger wies jüngst auf eine Phishing-Methode hin, die selbst aufmerksame Nutzer hinters Licht führt. Betrüger sind demnach in der Lage, authentische Domains samt der HTTPS-Verbindung zu simulieren. Chrome- und Firefox-User sind davon betroffen, Internet Explorer- und Safari-Nutzer müssen sich weniger Sorgen machen.

Homographisches Phishing stellt noch immer ein Sicherheitsrisiko dar

Xudong Zheng, ein chinesischer Software Engineer aus New York, macht in einem Blogpost auf eine Phishing-Praktik aufmerksam, die die großen Browserhersteller nicht in den Griff bekommen haben. Zu Demonstrationszwecken sicherte er sich „apple.com“ – auf den ersten Blick identisch mit der Domain der weltbekannten Marke. Registriert wurde jedoch „xn--80ak6aa92e.com/“.

Möglich macht dies das Kodierungsverfahren Punycode, das Unicode-Zeichen in ASCII und wieder zurück verwandelt. So können beispielsweise chinesische oder arabische Schriftzeichen bei der Domain-Registrierung verwendet und in der Adresszeile jeweils korrekt angezeigt werden.

Dass Hacker dieses Kodierungsverfahren ausnutzen, ist nicht unbedingt neu, sondern vielmehr bekannt als homographisches Phishing, wie Zheng bemerkt:

From a security perspective, Unicode domains can be problematic because many Unicode characters are difficult to distinguish from common ASCII characters. It is possible to register domains such as „xn--pple-43d.com“, which is equivalent to „аpple.com“. It may not be obvious at first glance, but „аpple.com“ uses the Cyrillic „а“ (U+0430) rather than the ASCII „a“ (U+0041). This is known as a homograph attack.

Die Browserhersteller haben schon seit langem Gegenmaßnahmen eingeleitet. Sobald eine Domain Buchstaben aus verschiedenen Alphabeten nutzt, greift die Kodierung nicht und die URL wird im Punycode-Format angezeigt (beispielsweise xn--pple-43d.com). Allerdings nicht, wenn die Zeichen allesamt aus demselben Alphabet stammen, aber eine andere Sprache simulieren:

The domain „аррӏе.com“, registered as „xn--80ak6aa92e.com“, bypasses the filter by only using Cyrillic characters.

In diesem Fall nutzt Zheng also ausschließlich kyrillische Zeichen, die der Browser in lateinische Schrift übersetzt. Weitere Beispiele dafür, die Wordfence vorstellt, sind https://www.xn--e1awd7f.com/ und https://www.epic.com/.

Google und Mozilla arbeiten an einer Lösung

Die nächste Chrome Version soll die Sicherheitslücke bereits beheben. Die Entwickler von Mozilla überlegen noch, wie sie dem Risiko Herr werden. Bis dahin können sich Mozilla-Nutzer manuell schützen, indem sie „about:config“ in die Adresszeile eingeben, nach „Punycode“ suchen und den Wert „network.IDN_show_punycode“ via Doppelklick von „false“ auf „true“ setzen.

Quellen: GIGA, Heise, The Hacker News