Unicode als Phishing-Risiko: Warum „apple.com“ nicht gleich „apple.com“ ist

Details
Hauptkategorie: IT News aus aller Welt
Kategorie: Sicherheitsinfos

Wie schützt man sich vor Phishing? Eine Vorsichtsmaßnahme ist ein Blick in die Adresszeile des Browsers: Nur, wenn dort die bekannte Domain zu sehen ist, handelt es sich um die echte Website. Leider gibt es aber auch hier einen Phishing-Trick.

Unicode-Feature in Browsern als Sicherheitsrisiko

Der Blogger Xudong Zheng hat jedoch ein Sicherheitsrisiko in mehreren Browsern entdeckt, durch das leider auch diese Vorsichtsmaßnahme nicht genügt: Mehrere Browser – Chrome, Firefox und Opera – bieten das eigentlich praktische Feature, Unicode-Zeichen auch in der Adresszeile als solche anzuzeigen. So ist es beispielsweise möglich, chinesische Schriftzeichen für die URL chinesischer Websites anzuzeigen. Der Browser „übersetzt“ eine ASCII-Zeichenfolge also in die nicht-lateinische Schrift.

Nun gibt es aber Unicode-Zeichen, die zumindest in gängigen Schriftarten genauso aussehen wie lateinische Buchstaben –beispielsweise kyrillische Buchstaben. Zheng nennt das kyrillische а (U+0430) als Beispiel, das wie das normale „a“ aussieht. Über einen so genannten „Homographischen Angriff“ ist es mit Hilfe dieser Zeichen möglich, die Adresszeile im Browser genau so aussehen zu lassen, als bestehe eine Verbindung zu einer bekannten Website.

Als Demonstration hat sich Zheng die Domain „xn--80ak6aa92e.com“ gesichert. Wer diese mit den genannten Browsern aufruft, sieht in der Adresszeile eine sichere HTTPS-Verbindung zum Server „apple.com“.

Firefox: In Firefox lässt sich die „Übersetzung“ in den Einstellungen – über „about:config“ und eine Veränderung von „network.IDN_show_punycode“ in „true“ – deaktivieren

Chrome 58, das noch in diesem Monat erscheinen wird, soll dieses als „Bug“ eingestuftes Problem ebenfalls nicht mehr auftreten.

Zheng meint, dass Unternehmen sich entsprechende Unicode-Varianten ihrer Domains sichern sollten, um Angreifern gar nicht erst die Möglichkeit zu eröffnen. Und dass Mozilla und Opera ebenfalls Lösungen finden sollten.

Safari und Internet Explorerer oder Edge: Wer Safari, Internet Explorer oder Edge benutzt, ist aktuell diesbezüglich ohnehin auf der sicheren Seite. Andere sollten einen Passwort-Manager verwenden, der auf den Trick nicht hereinfällt – oder zur Sicherheit URLs immer selbst eingeben oder bekannte Websites über Suchmaschinen aufrufen.

Quelle: Xudong Zheng

Zugriffe: 385