SfN
blank

Vorsicht vor dem Punycode-Angriff

blankEin starker Passwortschutz reicht nicht aus, um gegen Datendiebstahl gefeit zu sein. Phishing-Angreifer legen ihre Opfer durch Vortäuschung legitimer Weltnetzseiten so herein, dass sie ihre Passwörter ganz freiwillig preisgeben. Eine alte Masche der Phisher ist ein Homographie-Angriff, bei dem die Verwechselbarkeit von Buchstaben verschiedener Zeichensysteme ausgenutzt wird, um zum Beispiel die täuschend echte Domain apple.com zu registrieren. Nur wer ganz genau nachschaut, erkennt, dass es sich dabei um eine Unicode-Domain handelt, im Klartext: https://www.xn--80ak6aa92e.com.

Der Sicherheitsforscher Xudong Zheng hat diese Fake-Apple-Website registriert, um auf das Problem aufmerksam zu machen. Im Januar 2017 informierte er alle Netzbetrachter-Hersteller.

Die verschiedenen Microsoft-Netzbetrachter, Vivaldi, Brave, Google Chrome, Opera und Apples Safari sind vor dem Angriff gefeit, leider gilt dies nicht für Mozillas Firefox und somit auch für den Tor Browser.

Der Angriff ist möglich, weil bei der Erfindung des Internets nicht weit genug gedacht wurde. Domain-Namen werden als ASCII-Code aus 26 lateinischen Buchstaben abgespeichert. Für Sonderzeichen, Symbole oder gar andere Zeichensysteme dachte niemand. Damit nun aber auch Domains mit chinesischen Schriftzeichen oder gar deutsche Umlaute angemeldet werden können, wurde das Punycode-System erfunden. Es übersetzt Unicode-Zeichen in ASCII-Zeichen, zum Beispiel www.schön.de wird bei der Übertragung in Punycode ein www.xn--schn-7qa.de, aus www.☺.de wird ein www.xn--74h.de. Die Empfänger-Netzbetrachter rückübersetzen den Punycode dann wieder in Unicode-Zeichen und stellen es hübsch in der Adresszeile dar.

Nur ermöglicht das Angreifern, eben Domain-Namen zu registrieren, die aus Punycode/ASCII-Perspektive völlig unverfänglich und eindeutig sind, aber in der Rückübersetzung sich zur Täuschung manifestieren: Aus https://www.xn--80ak6aa92e.com wird apple.com – das L ist im Unicode der kyrillische Buchstabe kleines Palotschka.

blank

Tor Browser

Im Tor Browser ist es leicht diesen Angriff zu erkennen. Mit einem Klick auf die Seiteninformation siehst du nicht nur den vom Tor Browser benutzen Kanal um dich mit dem Weltnetz zu verbinden sondern als letzten Punkt auch die unformatierte Netzseite www.xn--80ak6aa92e.com.


blank

Für Firefox-Nutzer

Es gibt gute Gründe, die Lücke nicht zu schließen, zum Beispiel für alle jene, die viel mit Unicode-Domains zu tun haben. Wer aber seinen Firefox abdichten will, kann das einfach so tun: Über about:config rein in die Konfigurationsdatei und dort den Punkt network.IDN_show_punycode auf true stellen. Damit zeigt Firefox keine Unicode-Adressen mehr an, sondern ihre wenig lesbaren Punycode-Varianten. www.apple.com wird so nach wie vor genau so erscheinen. Aber eine Phishing-Netzseite als www.xn--80ak6aa92e.com.

Kommentar hinzufügen

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.