Zuletzt aktuaÂliÂsiert am 24. Mai 2019 durch JürÂgen Voskuhl
Laut einer StaÂtisÂtik der beiÂden E‑Mail-AnbieÂter WEB​.DE und GMX ist das SpamÂaufÂkomÂmen in 2018 um 34% gestieÂgen. Ein Trend ist dabei der EinÂsatz von HomoÂglyÂphen und interÂnaÂtioÂnaÂliÂsierÂte DomainÂnaÂmen (kurz: IDN) durch Internet-Kriminelle.
Um was es sich dabei hanÂdelt, wie man HomoÂglyÂphen erkennt und wie man sich vor homoÂgraÂphiÂschen AngrifÂfen schützt erkläÂren wir in dieÂsem Beitrag.
Was sind Homoglyphen?
HomoÂglyÂphen sind ähnÂlich oder gleich ausÂseÂhenÂde SchriftÂzeiÂchen. BeiÂspielsÂweiÂse werÂden der BuchÂstaÂbe O und die ZifÂfer 0, ebenÂso das großÂgeÂschrieÂbeÂne i (I) und das kleinÂgeÂschrieÂbeÂne L (l) gerÂne mitÂeinÂanÂder verwechselt.
Wie werÂden HomoÂglyÂphen in Spam-Emails verwendet?
Bereits seit JahÂren ist es unter SpamÂmern beliebt, derÂarÂtiÂge HomoÂglyÂphen in BetreffÂzeiÂlen von Spam-Emails einÂzuÂsetÂzen. So werÂden beiÂspielsÂweiÂse in dem Wort "ViaÂgra" (was verÂmutÂlich zu einer Spam-Email gehört) die beiÂden vorÂkomÂmenÂden a's jeweils durch den grieÂchiÂschen BuchÂstaÂben α ersetzt. Aus "ViaÂgra" wird also "ViαÂgrα". Die BedeuÂtung des WorÂtes ist für den menschÂliÂchen Leser immer noch erkennÂbar und idenÂtisch, autoÂmaÂtiÂsche Spam-FilÂter hatÂten damit jedoch ihre ProÂbleÂme – jedenÂfalls anfangs. InzwiÂschen könÂnen sämtÂliÂche SpamÂfilÂter damit umgeÂhen und erkenÂnen solÂche Emails zuverÂläsÂsig als das, was sie sind, nämÂlich Spam.
WarÂum sind HomoÂglyÂphen heuÂte noch ein Problem?
Domain Name SerÂver (DNS) im InterÂnet wanÂdeln immer alle ZeiÂchen in KleinÂbuchÂstaÂben um. BeiÂspielsÂweiÂse ist es völÂlig egal, ob ich "itcv​-soft​ware​.com" in die AdressÂzeiÂle meiÂnes BrowÂsers einÂgeÂbe oder "itcv​-Soft​ware​.com": mir wird immer dieÂselÂbe WebÂsite angeÂzeigt. Damit könÂnen die einÂgangs beschrieÂbeÂnen VerÂwechÂseÂlungsÂmögÂlichÂkeiÂten durch InterÂnet-KriÂmiÂnelÂle auch für DomainÂnaÂmen genutzt werden.
So konnÂte beiÂspielsÂweiÂse PayPal tatÂsächÂlich Ziel eines PhisÂhing-Angriffs werÂden, bei dem die Domain PayPaI​.com (also mit groÂßem i am Ende statt einem l) verÂwenÂdet wurde.
IDNs verÂschlimÂmern das Problem!
FrüÂher konnÂten ausÂschließÂlich ASCII-ZeiÂchen (a‑z, 0–9 sowie einiÂge SonÂderÂzeiÂchen) für DomainÂnaÂmen genutzt werden.
Mit EinÂfühÂrung der interÂnaÂtioÂnaÂliÂsierÂten DomainÂnaÂmen (IDN) steht seit etwa 2010 ein VerÂfahÂren zur VerÂfüÂgung, um den volÂlen UniÂcode-ZeiÂchenÂsatz für DomainÂnaÂmen nutÂzen zu können.
In unseÂrem SprachÂraum sind "Umlaut-Domains" wie etwa www.müller.de dadurch überÂhaupt erst nutzÂbar geworÂden (wir raten allerÂdings aus verÂschieÂdeÂnen GrünÂden von deren NutÂzung ab!).
Für andeÂre SprachÂräuÂme betrifft das zum BeiÂspiel kyrilÂliÂsche oder araÂbiÂsche DomainÂnaÂmen, wie etwa der Link zum ägypÂtiÂschen InforÂmaÂtiÂons- und KomÂmuÂniÂkaÂtiÂonsÂmiÂnisÂteÂriÂum: http://وزارة-الأتصالات.مصر.
Da die Domain Name SerÂver (DNS) im InterÂnet nach wie vor ausÂschließÂlich ASCII-ZeiÂchen beherrÂschen, erfolgt im BrowÂser eine entÂspreÂchenÂde KonÂverÂtieÂrung durch den sogeÂnannÂten "PunÂyÂcode-AlgoÂrithÂmus". Die UniÂcode-ZeiÂchenÂfolÂge wird damit in eine ASCII-ZeiÂchenÂketÂte umgeÂwanÂdelt: den ACE (ASCII ComÂpaÂtiÂble Encoding)-String. Aus der im BrowÂser einÂgeÂgeÂbeÂnen Domain "müller.de" aus unseÂrem obiÂgen BeiÂspiel wird so der (beim DNS tatÂsächÂlich abgeÂfragÂte) DomainÂnaÂme "xn​-​-mller​-kva​.de".
Das VerÂfahÂren ist rückÂwärtsÂkomÂpaÂtiÂbel (d. h. aus "xn​-​-mller​-kva​.de" kann wieÂder "müller.de" erzeugt werÂden) und kann auch auf Email-AdresÂsen angeÂwenÂdet werden.
Das IDN-VerÂfahÂren erweiÂtert also den in DomainÂnaÂmen verÂwendÂbaÂren ZeiÂchenÂvorÂrat von ein paar DutÂzend ASCII-ZeiÂchen auf vieÂle TauÂsend SchriftÂzeiÂchen – wodurch der SpielÂraum für homoÂgraÂphiÂsche AngrifÂfe beträchtÂlich verÂgröÂßert wird!
Was man mit einer IDN-Email-AdresÂse alles anstelÂlen kann
Auf den ersÂten Blick erschließt sich die darÂaus entÂsteÂhenÂde zusätzÂliÂche BedroÂhung zugeÂgeÂbeÂnerÂmaÂßen nicht. DesÂhalb muss ein BeiÂspiel her!
StelÂlen Sie sich einÂfach vor, Sie als AmaÂzon-KunÂde erhalÂten eine (inhaltÂlich täuÂschend echt nachÂgeÂmachÂte Spam-) Email vom AbsenÂder "bestellbestaetigung@amazоn.de".
WürÂden Sie darÂauf komÂmen, das dieÂse Email nicht vom beliebÂten Online-HändÂler stammt?
Kaum zu glauÂben, ist aber so: Die tatÂsächÂliÂche AbsenÂder-AdresÂse als ACE-String lauÂtet nämÂlich "bestellbestaetigung@​xn-​-​amazn-​mye.​de". Was ist hier pasÂsiert? Ganz einÂfach: ich habe das unverÂfängÂliÂche o in ama​zon​.de einÂfach durch den kyrilÂliÂschen KleinÂbuchÂstaÂben о ersetzt. Sieht gleich aus, ist aber nicht das Gleiche!
Als InterÂnet-KriÂmiÂnelÂler habe ich mir selbstÂverÂständÂlich die auf den ersÂten Blick nichtsÂsaÂgenÂde Domain xn​-​-amazn​-mye​.de reserÂviert. Die benöÂtiÂge ich nicht nur zum VerÂsand der Spam-Emails (als AbsenÂder-Domain), sonÂdern auch, um Links in der Form www.amazоn.de in meiÂne Spam-Email einÂzuÂbauÂen. Die Links fühÂren nicht zum echÂten AmaÂzon-Shop, sonÂdern auf meiÂne Domain www​.xn​-​-amazn​-mye​.de. Und was mache ich da als ersÂtes mit dem getäuschÂten BesuÂcher? RichÂtig, ich präÂsenÂtieÂre ihm meiÂne (täuÂschend echt nachÂgeÂmachÂte) Amazon-Login-Seite!
NachÂdem der BesuÂcher dann seiÂne AmaÂzon-LogÂin-Daten einÂgeÂgeÂben hat, leiÂte ich ihn zur echÂten AmaÂzon-Domain weiÂter. Der BesuÂcher merkt von alleÂdem nichts. Ich habe aber nun seiÂne AmaÂzon-LogÂin-Daten. InsÂbeÂsonÂdeÂre habe ich das PassÂwort, mit dem ich allerÂhand Unsinn treiÂben kann: VieÂle InterÂnet-NutÂzer verÂwenÂden nämÂlich immer noch ein und dasÂselÂbe PassÂwort für verÂschieÂdeÂne Dienste.
Zum Glück funkÂtioÂniert das beschrieÂbeÂne BeiÂspiel in der PraÂxis übriÂgens nicht: Für jede TopÂleÂvel-Domain ist indiÂviÂduÂell festÂgeÂlegt, welÂche UniÂcode-ZeiÂchen im DomainÂnaÂmen verÂwenÂdet werÂden dürÂfen. Das kyrilÂliÂsche o ist jedenÂfalls für .de-Domains nicht zuläsÂsig, der DomainÂnaÂme xn​-​-amazn​-mye​.de kann daher nicht regisÂtriert werden.
AndeÂre ZeiÂchen (insÂgeÂsamt 93) sind dageÂgen zuläsÂsig. So hat beiÂspielsÂweiÂse die Lidl StifÂtung & Co. KG erst MitÂte letzÂten JahÂres ein VerÂfahÂren wegen dem interÂnaÂtioÂnaÂliÂsierÂten Domain-Namen lÃdl.eu angeÂstrengt (man beachÂte die SchreibÂweiÂse des 'i').
Wie kann man sich vor solÂchen AngrifÂfen schützen?
Zum einen tun das die Email-CliÂents der groÂßen Mail-AnbieÂter bereits. Bei Gmail sieht das etwa so aus:
VerÂlasÂsen sollÂten Sie sich darÂauf aber nicht!
Daher sollÂten Sie – getreu dem MotÂto "VorÂbeuÂgen ist besÂser als heiÂlen" – die folÂgenÂden RatÂschläÂge befolÂgen, die Sie vor derÂarÂtiÂgen AngrifÂfen schützen:
- VerÂwenÂden Sie einen PassÂwortÂmaÂnaÂger zur VerÂwalÂtung Ihrer Passwörter
- VerÂwenÂden Sie nieÂmals dasÂselÂbe PassÂwort für verÂschieÂdeÂne Dienste
- AktiÂvieÂren Sie die MulÂtiÂfakÂtor- bzw. 2‑FakÂtor-AuthenÂtiÂfiÂzieÂrung bei AnbieÂtern, bei denen dies mögÂlich ist
- KliÂcken Sie inbeÂsonÂdeÂre bei "groÂßen" SeiÂten, die gerÂne Opfer von Spam-AttaÂcken werÂden, nieÂmals Links in Emails an
Rufen Sie stattÂdesÂsen einÂfach die SeiÂte des betrefÂfenÂden UnterÂnehÂmens in Ihrem BrowÂser auf und melÂden Sie sich darÂüber an. Dabei unterÂstützt Sie auch Ihr PassÂwortÂmaÂnaÂger – vorÂausÂgeÂsetzt Sie setÂzen eine entÂspreÂchenÂde SoftÂware bereits ein.
Wenn Sie dieÂse RatÂschläÂge beherÂziÂgen, kann Ihnen im HinÂblick auf homoÂgraÂphiÂsche AngrifÂfe nichts mehr passieren.
GerÂne beraÂten wir Sie rund um das TheÂma CyberÂsiÂcherÂheit und schuÂlen Ihre MitÂarÂbeiÂter. SpreÂchen Sie uns noch heuÂte dazu an!
Für Ihre AnreÂgunÂgen und FraÂgen zum TheÂma könÂnen Sie auch gerÂne die KomÂmenÂtarÂfunkÂtiÂon am Ende der SeiÂte nutzen.
WeiÂterÂfühÂrenÂde Literatur
GMX NewsÂroom, 21.5.2019: Spam steigt um ein DritÂtel auf 150 MilÂlioÂnen Mails pro Tag
WikiÂpeÂdia: InterÂnaÂtioÂnaÂliÂsierÂter Domainname
DENIC eG: IDN-Web-ConÂverÂter
domain​-recht​.de: Lidl geht entÂschieÂden gegen interÂnaÂtioÂnaÂliÂsierÂte Domain-Namen wie lÃdl.eu vor