Gajus - Fotolia

F

Wie Cyberkriminelle legitime Domains per Unicode vortäuschen

Per Unicode können Angreifer Domains imitieren, sogar mit SSL-Verschlüsselung. Ein Proof-of-Concept demonstriert, wie diese Attacke funktioniert.

Ein Sicherheitsforscher hat eine Methode vorgestellt, die eine Schwachstelle in Unicode-Domains nutzt, um legitime Webseiten zu imitieren. Nach Angaben des Forschers kann man die Seiten kaum vom echten Vorbild unterscheiden.

Vertrauen ist im Geschäftsumfeld unabdingbar. Viel Zeit und Budget fließt in Systeme, die sicherstellen sollen, dass ein Zielsystem auch wirklich das System ist, das man erreichen möchte. Andererseits versuchen Angreifer, genau dieses Vertrauen auszunutzen und die Sicherheitssysteme zu umgehen.

Entsprechend ist Phishing bei vielen digitalen Angriffen der erste Schritt zur Infektion. Und mit dem besagten Unicode-Angriff bietet sich hier eine Möglichkeit. Der Angriff funktioniert, weil bestimmte Buchstaben in unterschiedlichen Zeichensätzen ähnlich wie Unicode aussehen. Das gilt etwa für das lateinische und kyrillische Alphabet. Für den normalen Nutzer sind die Zeichen auf den ersten Blick nicht zu unterscheiden – und Angreifer nutzen zu ihrem Vorteil.

So sieht die vorgetäuschte Webadresse aus wie die einer legitimen Webseite, es kommen beispielsweise aber kyrillische Zeichen zum Einsatz und die registrierte Domain ist eine völlig andere. Daher funktioniert auch das SSL-Zertifikat, denn es ist ja real, schließlich wird keine bestehende Domain kopiert, sondern eine komplett neue mit anderen Buchstaben erstellt. Am einfachsten erkennt man es, indem man über den Link fährt: Das liegt daran, dass der sogenannte Punycode zusätzliche Informationen enthält, die dann in ASCII entsprechend so wiedergegeben werden.

Updates für Browser

Das Problem wurde durch Schwachstellen in Internet Explorer, Chrome und Opera begünstigt – alle Hersteller haben glücklicherweise die Updates für die Lücke ausgerollt. Firefox sieht darin kein direktes Problem, die Verantwortung läge bei den Registraren, die den Einsatz von Domains in diesem Zusammenhang erlauben. Firefox-Anwender können über eine Einstellung (network.IDN_show_punycode) die Anzeige der Originaladresse aktivieren.

Das Proof-of-Concept zeigt, wie Angreifer potenzielle Schwachstellen in eigentlich sinnvollen Erweiterungen umfunktionieren können. URLs müssen daher unbedingt validiert werden, bevor sie freigegeben werden. Es gibt Browser-Plug-ins dafür, zudem kann der Einsatz von Domain Name System Security Extension (DNS SE) solche Attacken abwehren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz- und Sicherheitsrisiko Kurz-URLs

Domain Name System: Hintertür für Hacker

Websites und Webanwendungen: Schwachstellen finden und beseitigen

Cross Site Scripting: Das sollten Unternehmen über die Schwachstellen wissen

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close