So trickst man aufmerksame Nutzer bei Phishing-Attacken aus

Sicherheit, Web, SemperVideo, Phishing, Domain, Unicode, Punicode Sicherheit, Web, SemperVideo, Phishing, Domain, Unicode, Punicode
Wann immer eine Technologie das Leben der Nutzer einfacher machen soll, bringt diese meist auch neue Risiken mit sich. Das ist auch bei der Erweiterung der Domain-Registrierungen auf Begriffe der Fall, in denen Unicode-Zeichen zum Einsatz kommen. Dies soll es eigentlich ermöglichen, dass auch Nutzer bequem mit dem Web arbeiten können, deren Sprache sich nicht auf das lateinische Alphabet beschränkt - was einer großen Mehrheit der Anwender entspricht.

Das hierbei eingesetzte Kodierungsverfahren nennt sich Punycode und ermöglicht nicht nur Anwendern mit komplett fremden Schreibstilen wie dem Kyrillischen, dem Arabischen oder dem Chinesischen, die eigenen Schriftzeichen im Domain-Namen zu verwenden. Auch deutsche Anwender haben hiervon Vorteile, weil sie beispielsweise Umlaute nutzen können.

Wie unsere Kollegen von SemperVideo zeigen, eröffnet dies letztlich aber auch Phishern eine Chance, ihre Angriffe noch besser zu tarnen und selbst vorsichtigere Nutzer hinters Licht zu führen. Denn über die Punycode-Kodierung lassen sich auch Adressen nachbilden, die dem Original zum Verwechseln ähnlich sehen.

Hier genügt es beispielsweise, ein sehr ähnliches Schriftzeichen aus einer anderen Sprache in die lateinische Schreibung einzubauen. Selbst bei einem genaueren Blick erschließt sich dann in den meisten Fällen nicht, wenn ein Buchstabe durch ein solches Zeichen aus einem fremden Alphabet ausgetauscht wurde.

So lassen sich Links perfekt tarnen, mit denen User auf eine Phishing-Seite geleitet werden sollen. Diese werden auch nicht misstrauisch, wenn sie sich den jeweiligen Link in der Statuszeile anschauen oder auch nach dem Klick einen Blick in die Adressleiste werfen. es sei denn natürlich, man hat seinem Browser wieder abgewöhnt, bei Domains die Punycode-Kodierung komplett aufzulösen, was nicht immer einfach per Mausklick funktioniert.

Mehr von SemperVideo: YouTube

Dieses Video empfehlen
Kommentieren20
Jetzt einen Kommentar schreiben
 
Bei Vivaldi wird es schon so angezeigt, dass man nicht darauf hereinfällt.

Edge und der IE11 haben damit auch keine Probleme.
Bei Opera 44 und Chrome 57 muss man das wohl erst aktivieren.
 
@kubatsch007: Gerade Chrome auf Version 58.0.3029.81 aktualisiert und jetzt zeigt er es auch erkennbar an.
 
@Niyo: Stimmt, hast recht.
 
@kubatsch007: Vivaldi <3
 
Was mich am meisten erschreckt, ist die Tatsache, dass es zu der Apple-Fake-Seite eine HTTPS-Verbindung gibt?! Wie ist so etwas möglich, sichere Verbindungen müssen doch irgendwo beantragt werden? Oder kriegt die mittlerweile jeder?
 
@Marten E. Vanderveen: Ich wette, dass das Profi-Video da oben auf lokalen Seiten arbeitet. Unabhängig davon könnte man für beliebige Seiten SSL-Zertifikate beantragen. Ob der Zertifikats-Herausgeber dann bei dem Besitzer der korrekten URL anfragt steht in den Sternen.
 
@dodnet: https://www.xn--80ak6aa92e.com/ das ist die Seite und hat HTTPS.
 
@dodnet: Meine Informationen zu SSL-Verbindungen waren veraltet. Ich dachte, ein grünes Schloss wäre quasi das Gütesiegel einer seriösen Seite, was aber mittlerweile nicht mehr zutrifft. Bei "Let's Encrypt" kann jeder mitmachen, auch zweifelhafte Gestalten. Bei der Seriositätsprüfung muss man sich jetzt das Zertifikat genauer ansehen. Die Punycode-Einstellung bietet da zusätzlichen Schutz.
 
In Browsern empfinde ich das eher weniger als Problem. Da klicke ich kaum auf solche Links. Aber in Emails, also bei Emailclients, da wäre das schon eher ein Problem, wenn da einer so eine Email richtig faked.
Wie kann man es da ausstellen?

EDIT: Habs selbst gefunden beim Thunderbird: Ist wie im Firefox, nur muss man dazu in die Optionen gehen und auf Advanced -> Config Editor
 
@Freudian: Im Mail-Client ist es überhaupt kein Problem. Da dürfte auch der Apple-Link als PunyCode stehen. Wichtig ist, dass der Standardbrowser den Punycode nicht anzeigt. Denn dort wird die in der Mail angzeigte Link schließlich geöffnet.
 
@SunnyMarx:
Und was bringt das wenn er im Email Client nicht angezeigt wird, man klickt drauf und hat ihn dann im Browser schon geladen wenn man es merkt?
Wie gesagt, im Thunderbird ist die gleiche Punycode Option wie beim Firefox vorhanden.
 
@Freudian: Und was passiert, wenn man eine Phishing-Seite lädt, ohne zu wissen, dass es ne Phishing-Seite ist? Man aber nach dem Laden erkennt, dass es ne Seite mit Punycode ist? Richtig. Nichts passiert.

Ne Phishing-Seite erfordert schließlich, dass man Daten eingibt und auf "senden" klickt. Also ist der Browser definitiv wichtiger, dass er nicht die Umlaut-Domain, sondern die ASCII-Domain anzeigt.
 
@SunnyMarx: Doch, es muss sich ja nicht unbedingt nur ums Abgreifen von Daten handeln.. sobald du auf den Link klickst, könnte bereits Schadcode geladen werden...
Ok ok, dann ist der gefakte Link ggf. als Scamming oder was weiß ich-Attacke und nicht unbedingt als Phishing zu bezeichnen, aber um die genauen Begriffsdefinitionen geht's ja hier vermutlich nicht..
 
Einfach keine Links die man nicht direkt vor Erhalt selber angefordert hat anklicken!
Wenn eine Webseite sich von alleine meldet, kann man diese auch immer manuell selber aufrufen und was zu erledigen ist, dort erledigen, wie z.B. das Passwort oder andere Daten zu aktualisieren etc.
 
Wenn es jetzt noch einen Link zu einer Testsite geben würde, um den eigenen Browser zu testen...
 
@Druidialkonsulvenz: sempervideo.de/punycode ..?
 
Na ja - der gesunde Menschenverstand müsste einem aber schon sagen, dass es noch nirgendwo ein kostenloses iPhone gab und gibt. Bei anderen bestimmten Produktenist das genauso.
Ich habe manchmal auch mails mit dem hinwies auf irgendwelche Aktivitäten meines paypal-Accounts.
Problem ist nur: Ich habe kein paypal. Also wandert so eine mail zwangsläufig im Mülleimer.
Krass finde ich auch, dass es immer noch diese YSpams mit dem Afrikanischen Königssohn und dem Erbe gibt, das auf Auszahlung wartet. Scheint immer noch genug zu geben, die darauf hereinfallen.
Da muss man sich schon fragen, wievile Hirntote imNetz unterwegs sind.
 
Der "AUFMERKSAME" Nutzer wird garantiert nicht hereingelegt...
 
@Annettekrum: Also ich finde es schon sehr aufmerksam, wenn man sich unten in der Leiste anschaut, wohin der Link führt und sich zusätzlich auch noch den Quelltext anschaut.. Dass "kostenloses iPhone" natürlich Quatsch ist, sollte klar sein, aber die Seite könnte ja auch komplett anders aussehen und der Link von einer (eigentlich ^^) vertraulichen Quelle kommen.
 
Firefox, Thunderbird, Pale Moon:
network.IDN_show_punycode = true

Diese Info vermisse ich im Beitrag "ein wenig" ...
Kommentar abgeben Netiquette beachten!
Einloggen