/ Security / Browser noch immer für Phishing per Unicode-Domain anfällig

Browser noch immer für Phishing per Unicode-Domain anfällig

Moritz Rosenfeld on April 17, 2017 - 9:47 pm in Security

Fast 15 Jahre nach der Einführung internationaler Domainnamen (IDN) sind Chrome, Firefox und andere Browser noch immer für Phishing mittels homographischer Angriffe anfällig. Die bisherigen Gegenmaßnahmen der Browser sind unzureichend.

Firefox, Chrome und weitere Browser sind anfällig für Phishing mittels internationaler Domainnamen (IDN). Dabei werden Domains mit homographischen also identisch erscheinenden Zeichen registriert, um Opfer auf Phishing-Seiten zu locken. Die “Unicode-Domains” wurden 2003 standardisiert, um Domain-Namen außerhalb des Ascii-Zeichenraums darstellen zu können. Damit können etwa chinesische oder arabische Zeichen in Domains verwendet werden.

Typografische Zeichen wie Punkte sehen aber in verschiedenen Schriftsystemen gleich aus. Wie die Entwickler des WordPress-Plugins Wordfence demonstrieren, kann man Domains registrieren, die identisch aussehen, es jedoch nicht sind. Ein Bugfix ist für Chrome 58 in Aussicht. Die Mozilla-Entwickler diskutieren noch, wie man das Problem löst. Firefox-Anwender können die Darstellung von IDNs abschalten, indem sie in den erweiterten Browser-Einstellungen (about:config) den Wert des Schlüssels “network.IDN_show_punycode” auf “true” setzen.

Epic fail

Gleich, aber nicht das selbe.
Gleich, aber nicht das selbe. Vergrößern
In einem aktuellen Beispiel wurde die Domain https://www.еріс.com registriert. Sie ist quasi nicht zu unterscheiden von https://www.epic.com des Software-Herstellers Epic. Die Browser wandeln den Domainnamen im Hintergrund zu einem Punycode-Domainnamen um. Dieser besteht aus gewöhnlichen Ascii-Zeichen. Im Fall der Beispiel-Domain “xn--e1awd7f.com”. Der Trick ist, dass die Phishing-Domain homographische kyrillische Zeichen verwendet.

Phishing-Attacken per IDN wurden bereits als ein mögliches Problem erkannt, daher haben die Browser-Hersteller schon früh Maßnahmen ergriffen, um Anwender davor zu schützen. So zeigen Browser die IDNs nur an, wenn alle Zeichen aus dem selben Schriftsystem stammen. Man verhindert damit, dass zum Beispiel ein lateinischer Punkt in einer arabischen Domain verwendet wird. (mls)

Read more on: Source

Comments are disabled