Domain-Tricks mit Zeichensätzen: Homograph-Angriffe nach 15 Jahren noch effektiv

Inhaltsverzeichnis

Vor fünfzehn Jahren berichtete heise online über einen damals "neuen Trick": Bei einem sogenannten Homograph-Angriff registrieren Kriminelle eine Phishing-Domain, die auf raffinierte Weise Sonderzeichen enthält und vom Original nicht zu unterscheiden ist. Interessanterweise funktioniert das heute noch genau so gut wie damals. Wie die Sicherheitsfirma Soluble in ihrem Blog berichtet, haben es Phisher geschafft, duzende solcher Domains zu registrieren und dafür von Verisign gültige TLS-Zertifikate ausgestellt zu bekommen.

So funktioniert der Homograph-Angriff

Bei einer mit dem Homograph-Trick registrierten Domain haben Besucher in der Regel kaum eine Chance zu erkennen, dass ein Link sie auf eine gefälschte Webseite gelockt hat. Für das Opfer sieht es zum Beispiel so aus, als sei er auf amazon.de gelandet – was er allerdings nicht weiß ist, dass eins der "a" Zeichen in der Domain kein lateinisches kleines a sondern ein kyrillisches а ist. Da beide Zeichen in manchen Schriftsätzen identisch angezeigt werden, kann der Besucher nicht erkennen, dass er nicht auf amazon.de, sondern auf einer komplett anderen Domain gelandet ist. Auch das TLS-Zertifikat, gültig für diese andere Domain, sieht aus, als sei es für amazon.de gültig.

Mit solchen Domains bewaffnet können Kriminelle dann Phishing-Mails verschicken. Der Empfänger klickt auf den darin enthaltenen Link und landet auf einer Webseite, die echt aussieht – inklusive täuschend echter URL und gültigem TLS-Zertifikat. Ziel der Angreifer ist es nun, dass das Opfer auf dieser Seite seine Login-Informationen oder andere vertrauliche Daten eingibt.

Das bekannte Katz-und-Maus-Spiel

Zwar haben viele Browser-Hersteller, Domain-Registrare und Zertifizierungsstellen schon vor Jahren Schutzmaßnahmen umgesetzt, um solchen Missbrauch zu verhindern, Sicherheitsforscher und Kriminelle finden allerdings immer wieder neue Methoden, diese zu umgehen. Im aktuell vorliegenden Fall haben sich Angreifer die Unicode-Erweiterung für das Internationale Phonetische Alphabet (IPA) zu nutze gemacht, um Homograph-Domains zur registrieren und über Verizon mit TLS-Zertifikaten zu versehen. Viele Domain-Registrar-Firmen und Web-Hoster erlaubten nach den Erkenntnissen der Soluble-Forscher diese Zeichen in Domains. Und Verisign stellte für diese Domains gültige TLS-Zertifikate aus.

Die IPA-Domains sind in der Regel einfacher zu erkennen, als der oben beschriebene Angriff, der auf Internationalen Domain Namen (IDNs) beruht. Auch in der Adresszeile des Browsers lässt sich etwa amɑzon.de bei genauerem hinsehen vom der echten Domain amazon.de unterscheiden. Um hier nicht auf einen Phishing-Angriff reinzufallen muss man als Nutzer allerdings sehr wachsam sein. Und erfahrungsgemäß erwischen solche Angriffe früher oder später jemanden in einem schlechten Moment, in dem ohne viel Nachdenken in einer E-Mail auf einen Link geklickt wird. Am besten sollte man also gar nicht erst auf Links in Mails klicken und die dort angegebenen Domains von Hand abtippen.

Massenhaftes Phishing eher unwahrscheinlich

Der Einschätzung der Forscher nach, ist es unwahrscheinlich, dass solche Fake-Domains für großangelegte Phishing-Angriffe missbraucht werden. Dafür seien die Fake-Domains viel zu wertvoll, so die Forscher. Es ist wahrscheinlicher, dass Angreifer die es schaffen, solche Domains zu registrieren, sich diese für sehr gezielte Angriffe auf besonders wertvolle Ziele aufsparen.

Nachdem Verisign durch die Forscher über die Sicherheitslücke informiert worden war, verhindert die Firma nun das Ausstellen von Zertifikaten für solche Domains. Allerdings scheint es nach wie vor Registrare zu geben, bei denen sich solche Domains anmelden lassen. Außerdem scheint es wahrscheinlich, dass sich Zertifizierungsstellen finden lassen, die für diese Domains gültige Zertifikate ausstellen. (fab)