Spam/Phishing-Emails: Vorsicht vor Homo­glyphen und IDN-Domains!

Laut einer Sta­tis­tik der bei­den E-Mail-Anbie­ter WEB​.DE und GMX ist das Spam­auf­kom­men in 2018 um 34% gestie­gen. Ein Trend ist dabei der Ein­satz von Homo­gly­phen und inter­na­tio­na­li­sier­te Domain­na­men (kurz: IDN) durch Inter­net-Kri­mi­nel­le.
Um was es sich dabei han­delt, wie man Homo­gly­phen erkennt und wie man sich vor homo­gra­phi­schen Angrif­fen schützt erklä­ren wir in die­sem Bei­trag.

Was sind Homoglyphen?

Homo­gly­phen sind ähn­lich oder gleich aus­se­hen­de Schrift­zei­chen. Bei­spiels­wei­se wer­den der Buch­sta­be O und die Zif­fer 0, eben­so das groß­ge­schrie­be­ne i (I) und das klein­ge­schrie­be­ne L (l) ger­ne mit­ein­an­der ver­wech­selt.

Wie werden Homoglyphen in Spam-Emails verwendet?

Bereits seit Jah­ren ist es unter Spam­mern beliebt, der­ar­ti­ge Homo­gly­phen in Betreff­zei­len von Spam-Emails ein­zu­set­zen. So wer­den bei­spiels­wei­se in dem Wort "Via­gra" (was ver­mut­lich zu einer Spam-Email gehört) die bei­den vor­kom­men­den a's jeweils durch den grie­chi­schen Buch­sta­ben α ersetzt. Aus "Via­gra" wird also "Viαgrα". Die Bedeu­tung des Wor­tes ist für den mensch­li­chen Leser immer noch erkenn­bar und iden­tisch, auto­ma­ti­sche Spam-Fil­ter hat­ten damit jedoch ihre Pro­ble­me – jeden­falls anfangs. Inzwi­schen kön­nen sämt­li­che Spam­fil­ter damit umge­hen und erken­nen sol­che Emails zuver­läs­sig als das, was sie sind, näm­lich Spam.

Warum sind Homoglyphen heute noch ein Problem?

Domain Name Ser­ver (DNS) im Inter­net wan­deln immer alle Zei­chen in Klein­buch­sta­ben um. Bei­spiels­wei­se ist es völ­lig egal, ob ich "itcv​-soft​ware​.com" in die Adress­zei­le mei­nes Brow­sers ein­ge­be oder "itcv​-Soft​ware​.com": mir wird immer die­sel­be Web­site ange­zeigt. Damit kön­nen die ein­gangs beschrie­be­nen Ver­wech­se­lungs­mög­lich­kei­ten durch Inter­net-Kri­mi­nel­le auch für Domain­na­men genutzt wer­den.
So konn­te bei­spiels­wei­se Pay­Pal tat­säch­lich Ziel eines Phis­hing-Angriffs wer­den, bei dem die Domain Pay​PaI​.com (also mit gro­ßem i am Ende statt einem l) ver­wen­det wur­de.

IDNs verschlimmern das Problem!

Frü­her konn­ten aus­schließ­lich ASCII-Zei­chen (a-z, 0–9 sowie eini­ge Son­der­zei­chen) für Domain­na­men genutzt wer­den.
Mit Ein­füh­rung der inter­na­tio­na­li­sier­ten Domain­na­men (IDN) steht seit etwa 2010 ein Ver­fah­ren zur Ver­fü­gung, um den vol­len Uni­code-Zei­chen­satz für Domain­na­men nut­zen zu kön­nen.
In unse­rem Sprach­raum sind "Umlaut-Domains" wie etwa www.müller.de dadurch über­haupt erst nutz­bar gewor­den (wir raten aller­dings aus ver­schie­de­nen Grün­den von deren Nut­zung ab!).
Für ande­re Sprach­räu­me betrifft das zum Bei­spiel kyril­li­sche oder ara­bi­sche Domain­na­men, wie etwa der Link zum ägyp­ti­schen Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­mi­nis­te­ri­um: http://وزارة-الأتصالات.مصر.

Da die Domain Name Ser­ver (DNS) im Inter­net nach wie vor aus­schließ­lich ASCII-Zei­chen beherr­schen, erfolgt im Brow­ser eine ent­spre­chen­de Kon­ver­tie­rung durch den soge­nann­ten "Pun­y­code-Algo­rith­mus". Die Uni­code-Zei­chen­fol­ge wird damit in eine ASCII-Zei­chen­ket­te umge­wan­delt: den ACE (ASCII Com­pa­ti­ble Encoding)-String. Aus der im Brow­ser ein­ge­ge­be­nen Domain "müller.de" aus unse­rem obi­gen Bei­spiel wird so der (beim DNS tat­säch­lich abge­frag­te) Domain­na­me "xn​-​-mller​-kva​.de".
Das Ver­fah­ren ist rück­wärts­kom­pa­ti­bel (d. h. aus "xn​-​-mller​-kva​.de" kann wie­der "müller.de" erzeugt wer­den) und kann auch auf Email-Adres­sen ange­wen­det wer­den.

Das IDN-Ver­fah­ren erwei­tert also den in Domain­na­men ver­wend­ba­ren Zei­chen­vor­rat von ein paar Dut­zend ASCII-Zei­chen auf vie­le Tau­send Schrift­zei­chen – wodurch der Spiel­raum für homo­gra­phi­sche Angrif­fe beträcht­lich ver­grö­ßert wird!

Was man mit einer IDN-Email-Adresse alles anstellen kann

Auf den ers­ten Blick erschließt sich die dar­aus ent­ste­hen­de zusätz­li­che Bedro­hung zuge­ge­be­ner­ma­ßen nicht. Des­halb muss ein Bei­spiel her!

Stel­len Sie sich ein­fach vor, Sie als Ama­zon-Kun­de erhal­ten eine (inhalt­lich täu­schend echt nach­ge­mach­te Spam-) Email vom Absen­der "bestellbestaetigung@amazоn.de".

Wür­den Sie dar­auf kom­men, das die­se Email nicht vom belieb­ten Online-Händ­ler stammt?

Kaum zu glau­ben, ist aber so: Die tat­säch­li­che Absen­der-Adres­se als ACE-String lau­tet näm­lich "bestellbestaetigung@​xn-​-​amazn-​mye.​de". Was ist hier pas­siert? Ganz ein­fach: ich habe das unver­fäng­li­che o in ama​zon​.de ein­fach durch den kyril­li­schen Klein­buch­sta­ben о ersetzt. Sieht gleich aus, ist aber nicht das Glei­che!

Als Inter­net-Kri­mi­nel­ler habe ich mir selbst­ver­ständ­lich die auf den ers­ten Blick nichts­sa­gen­de Domain xn​-​-amazn​-mye​.de reser­viert. Die benö­ti­ge ich nicht nur zum Ver­sand der Spam-Emails (als Absen­der-Domain), son­dern auch, um Links in der Form www.amazоn.de in mei­ne Spam-Email ein­zu­bau­en. Die Links füh­ren nicht zum ech­ten Ama­zon-Shop, son­dern auf mei­ne Domain www​.xn​-​-amazn​-mye​.de. Und was mache ich da als ers­tes mit dem getäusch­ten Besu­cher? Rich­tig, ich prä­sen­tie­re ihm mei­ne (täu­schend echt nach­ge­mach­te) Ama­zon-Log­in-Sei­te!

Nach­dem der Besu­cher dann sei­ne Ama­zon-Log­in-Daten ein­ge­ge­ben hat, lei­te ich ihn zur ech­ten Ama­zon-Domain wei­ter. Der Besu­cher merkt von alle­dem nichts. Ich habe aber nun sei­ne Ama­zon-Log­in-Daten. Ins­be­son­de­re habe ich das Pass­wort, mit dem ich aller­hand Unsinn trei­ben kann: Vie­le Inter­net-Nut­zer ver­wen­den näm­lich immer noch ein und das­sel­be Pass­wort für ver­schie­de­ne Diens­te.

Zum Glück funk­tio­niert das beschrie­be­ne Bei­spiel in der Pra­xis übri­gens nicht: Für jede Top­le­vel-Domain ist indi­vi­du­ell fest­ge­legt, wel­che Uni­code-Zei­chen im Domain­na­men ver­wen­det wer­den dür­fen. Das kyril­li­sche o ist jeden­falls für .de-Domains nicht zuläs­sig, der Domain­na­me xn​-​-amazn​-mye​.de kann daher nicht regis­triert wer­den.
Ande­re Zei­chen (ins­ge­samt 93) sind dage­gen zuläs­sig. So hat bei­spiels­wei­se die Lidl Stif­tung & Co. KG erst Mit­te letz­ten Jah­res ein Ver­fah­ren wegen dem inter­na­tio­na­li­sier­ten Domain-Namen lídl.eu ange­strengt (man beach­te die Schreib­wei­se des 'i').

Wie kann man sich vor solchen Angriffen schützen?

Zum einen tun das die Email-Cli­ents der gro­ßen Mail-Anbie­ter bereits. Bei Gmail sieht das etwa so aus:

Ver­las­sen soll­ten Sie sich dar­auf aber nicht!

Daher soll­ten Sie – getreu dem Mot­to "Vor­beu­gen ist bes­ser als hei­len" – die fol­gen­den Rat­schlä­ge befol­gen, die Sie vor der­ar­ti­gen Angrif­fen schüt­zen:

• Ver­wen­den Sie einen Pass­wort­ma­na­ger zur Ver­wal­tung Ihrer Pass­wör­ter
• Ver­wen­den Sie nie­mals das­sel­be Pass­wort für ver­schie­de­ne Diens­te
• Akti­vie­ren Sie die Mul­ti­fak­tor- bzw. 2-Fak­tor-Authen­ti­fi­zie­rung bei Anbie­tern, bei denen dies mög­lich ist
• Kli­cken Sie inbe­son­de­re bei "gro­ßen" Sei­ten, die ger­ne Opfer von Spam-Atta­cken wer­den, nie­mals Links in Emails an
  Rufen Sie statt­des­sen ein­fach die Sei­te des betref­fen­den Unter­neh­mens in Ihrem Brow­ser auf und mel­den Sie sich dar­über an. Dabei unter­stützt Sie auch Ihr Pass­wort­ma­na­ger – vor­aus­ge­setzt Sie set­zen eine ent­spre­chen­de Soft­ware bereits ein.

Wenn Sie die­se Rat­schlä­ge beher­zi­gen, kann Ihnen im Hin­blick auf homo­gra­phi­sche Angrif­fe nichts mehr pas­sie­ren.

Ger­ne bera­ten wir Sie rund um das The­ma Cyber­si­cher­heit und schu­len Ihre Mit­ar­bei­ter. Spre­chen Sie uns noch heu­te dazu an!
Für Ihre Anre­gun­gen und Fra­gen zum The­ma kön­nen Sie auch ger­ne die Kom­men­tar­funk­ti­on am Ende der Sei­te nut­zen.

Weiterführende Literatur

GMX News­room, 21.5.2019: Spam steigt um ein Drit­tel auf 150 Mil­lio­nen Mails pro Tag

Wiki­pe­dia: Inter­na­tio­na­li­sier­ter Domain­na­me

DENIC eG: IDN-Web-Con­ver­ter

domain​-recht​.de: Lidl geht ent­schie­den gegen inter­na­tio­na­li­sier­te Domain-Namen wie lídl.eu vor