+49 (0) 69 247 429 19-0
itcv GmbH
  • Leis­tun­gen
    • IT-Bera­tung
      • Daten­si­che­rung (Back­up)
      • Ver­schlüs­se­lung
      • Pro­zess­op­ti­mie­rung
    • Soft­ware­ent­wick­lung
      • Web-Design
      • Office-Pro­gram­mie­rung
      • Daten­bank-Anwen­dun­gen
    • B2B-Dienst­leis­tun­gen
      • Mar­ke­ting & Vertrieb
      • Com­pu­ter­sys­tem-Vali­die­rung (CSV)
  • Kun­den­mei­nun­gen
  • Das itcv-Blog
  • Über itcv
  • Kon­takt
  • Suche
  • Menü Menü
  • Leis­tun­gen
    • IT-Bera­tung
      • Daten­si­che­rung (Back­up)
      • Ver­schlüs­se­lung
      • Pro­zess­op­ti­mie­rung
    • Soft­ware­ent­wick­lung
      • Web-Design
      • Office-Pro­gram­mie­rung
      • Daten­bank-Anwen­dun­gen
    • B2B-Dienst­leis­tun­gen
      • Mar­ke­ting & Vertrieb
      • Com­pu­ter­sys­tem-Vali­die­rung (CSV)
  • Kun­den­mei­nun­gen
  • Das itcv-Blog
  • Über itcv
  • Kon­takt
Das itcv-Blog

Spam/­Phis­hing-Emails: Vor­sicht vor Homo­glyphen und IDN-Domains!

IT-Sicherheit

Zuletzt aktua­li­siert am 24. Mai 2019 durch Jür­gen Voskuhl

Laut einer Sta­tis­tik der bei­den E‑Mail-Anbie­ter WEB​.DE und GMX ist das Spam­auf­kom­men in 2018 um 34% gestie­gen. Ein Trend ist dabei der Ein­satz von Homo­gly­phen und inter­na­tio­na­li­sier­te Domain­na­men (kurz: IDN) durch Internet-Kriminelle.
Um was es sich dabei han­delt, wie man Homo­gly­phen erkennt und wie man sich vor homo­gra­phi­schen Angrif­fen schützt erklä­ren wir in die­sem Beitrag.

Was sind Homoglyphen?

Homo­gly­phen sind ähn­lich oder gleich aus­se­hen­de Schrift­zei­chen. Bei­spiels­wei­se wer­den der Buch­sta­be O und die Zif­fer 0, eben­so das groß­ge­schrie­be­ne i (I) und das klein­ge­schrie­be­ne L (l) ger­ne mit­ein­an­der verwechselt.

Wie wer­den Homo­gly­phen in Spam-Emails verwendet?

Bereits seit Jah­ren ist es unter Spam­mern beliebt, der­ar­ti­ge Homo­gly­phen in Betreff­zei­len von Spam-Emails ein­zu­set­zen. So wer­den bei­spiels­wei­se in dem Wort "Via­gra" (was ver­mut­lich zu einer Spam-Email gehört) die bei­den vor­kom­men­den a's jeweils durch den grie­chi­schen Buch­sta­ben α ersetzt. Aus "Via­gra" wird also "Viα­grα". Die Bedeu­tung des Wor­tes ist für den mensch­li­chen Leser immer noch erkenn­bar und iden­tisch, auto­ma­ti­sche Spam-Fil­ter hat­ten damit jedoch ihre Pro­ble­me – jeden­falls anfangs. Inzwi­schen kön­nen sämt­li­che Spam­fil­ter damit umge­hen und erken­nen sol­che Emails zuver­läs­sig als das, was sie sind, näm­lich Spam.

War­um sind Homo­gly­phen heu­te noch ein Problem?

Domain Name Ser­ver (DNS) im Inter­net wan­deln immer alle Zei­chen in Klein­buch­sta­ben um. Bei­spiels­wei­se ist es völ­lig egal, ob ich "itcv​-soft​ware​.com" in die Adress­zei­le mei­nes Brow­sers ein­ge­be oder "itcv​-Soft​ware​.com": mir wird immer die­sel­be Web­site ange­zeigt. Damit kön­nen die ein­gangs beschrie­be­nen Ver­wech­se­lungs­mög­lich­kei­ten durch Inter­net-Kri­mi­nel­le auch für Domain­na­men genutzt werden.
So konn­te bei­spiels­wei­se PayPal tat­säch­lich Ziel eines Phis­hing-Angriffs wer­den, bei dem die Domain PayPaI​.com (also mit gro­ßem i am Ende statt einem l) ver­wen­det wurde.

Phishing

IDNs ver­schlim­mern das Problem!

Frü­her konn­ten aus­schließ­lich ASCII-Zei­chen (a‑z, 0–9 sowie eini­ge Son­der­zei­chen) für Domain­na­men genutzt werden.
Mit Ein­füh­rung der inter­na­tio­na­li­sier­ten Domain­na­men (IDN) steht seit etwa 2010 ein Ver­fah­ren zur Ver­fü­gung, um den vol­len Uni­code-Zei­chen­satz für Domain­na­men nut­zen zu können.
In unse­rem Sprach­raum sind "Umlaut-Domains" wie etwa www.müller.de dadurch über­haupt erst nutz­bar gewor­den (wir raten aller­dings aus ver­schie­de­nen Grün­den von deren Nut­zung ab!).
Für ande­re Sprach­räu­me betrifft das zum Bei­spiel kyril­li­sche oder ara­bi­sche Domain­na­men, wie etwa der Link zum ägyp­ti­schen Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­mi­nis­te­ri­um: http://وزارة-الأتصالات.مصر.

Da die Domain Name Ser­ver (DNS) im Inter­net nach wie vor aus­schließ­lich ASCII-Zei­chen beherr­schen, erfolgt im Brow­ser eine ent­spre­chen­de Kon­ver­tie­rung durch den soge­nann­ten "Pun­y­code-Algo­rith­mus". Die Uni­code-Zei­chen­fol­ge wird damit in eine ASCII-Zei­chen­ket­te umge­wan­delt: den ACE (ASCII Com­pa­ti­ble Encoding)-String. Aus der im Brow­ser ein­ge­ge­be­nen Domain "müller.de" aus unse­rem obi­gen Bei­spiel wird so der (beim DNS tat­säch­lich abge­frag­te) Domain­na­me "xn​-​-mller​-kva​.de".
Das Ver­fah­ren ist rück­wärts­kom­pa­ti­bel (d. h. aus "xn​-​-mller​-kva​.de" kann wie­der "müller.de" erzeugt wer­den) und kann auch auf Email-Adres­sen ange­wen­det werden.

Das IDN-Ver­fah­ren erwei­tert also den in Domain­na­men ver­wend­ba­ren Zei­chen­vor­rat von ein paar Dut­zend ASCII-Zei­chen auf vie­le Tau­send Schrift­zei­chen – wodurch der Spiel­raum für homo­gra­phi­sche Angrif­fe beträcht­lich ver­grö­ßert wird!

Was man mit einer IDN-Email-Adres­se alles anstel­len kann

Auf den ers­ten Blick erschließt sich die dar­aus ent­ste­hen­de zusätz­li­che Bedro­hung zuge­ge­be­ner­ma­ßen nicht. Des­halb muss ein Bei­spiel her!

Stel­len Sie sich ein­fach vor, Sie als Ama­zon-Kun­de erhal­ten eine (inhalt­lich täu­schend echt nach­ge­mach­te Spam-) Email vom Absen­der "bestellbestaetigung@amazоn.de".

Wür­den Sie dar­auf kom­men, das die­se Email nicht vom belieb­ten Online-Händ­ler stammt?

Kaum zu glau­ben, ist aber so: Die tat­säch­li­che Absen­der-Adres­se als ACE-String lau­tet näm­lich "bestellbestaetigung@​xn-​-​amazn-​mye.​de". Was ist hier pas­siert? Ganz ein­fach: ich habe das unver­fäng­li­che o in ama​zon​.de ein­fach durch den kyril­li­schen Klein­buch­sta­ben о ersetzt. Sieht gleich aus, ist aber nicht das Gleiche!

Als Inter­net-Kri­mi­nel­ler habe ich mir selbst­ver­ständ­lich die auf den ers­ten Blick nichts­sa­gen­de Domain xn​-​-amazn​-mye​.de reser­viert. Die benö­ti­ge ich nicht nur zum Ver­sand der Spam-Emails (als Absen­der-Domain), son­dern auch, um Links in der Form www.amazоn.de in mei­ne Spam-Email ein­zu­bau­en. Die Links füh­ren nicht zum ech­ten Ama­zon-Shop, son­dern auf mei­ne Domain www​.xn​-​-amazn​-mye​.de. Und was mache ich da als ers­tes mit dem getäusch­ten Besu­cher? Rich­tig, ich prä­sen­tie­re ihm mei­ne (täu­schend echt nach­ge­mach­te) Amazon-Login-Seite!

Nach­dem der Besu­cher dann sei­ne Ama­zon-Log­in-Daten ein­ge­ge­ben hat, lei­te ich ihn zur ech­ten Ama­zon-Domain wei­ter. Der Besu­cher merkt von alle­dem nichts. Ich habe aber nun sei­ne Ama­zon-Log­in-Daten. Ins­be­son­de­re habe ich das Pass­wort, mit dem ich aller­hand Unsinn trei­ben kann: Vie­le Inter­net-Nut­zer ver­wen­den näm­lich immer noch ein und das­sel­be Pass­wort für ver­schie­de­ne Dienste.

Zum Glück funk­tio­niert das beschrie­be­ne Bei­spiel in der Pra­xis übri­gens nicht: Für jede Top­le­vel-Domain ist indi­vi­du­ell fest­ge­legt, wel­che Uni­code-Zei­chen im Domain­na­men ver­wen­det wer­den dür­fen. Das kyril­li­sche o ist jeden­falls für .de-Domains nicht zuläs­sig, der Domain­na­me xn​-​-amazn​-mye​.de kann daher nicht regis­triert werden.
Ande­re Zei­chen (ins­ge­samt 93) sind dage­gen zuläs­sig. So hat bei­spiels­wei­se die Lidl Stif­tung & Co. KG erst Mit­te letz­ten Jah­res ein Ver­fah­ren wegen dem inter­na­tio­na­li­sier­ten Domain-Namen lídl.eu ange­strengt (man beach­te die Schreib­wei­se des 'i').

PCsicher Banner

Wie kann man sich vor sol­chen Angrif­fen schützen?

Zum einen tun das die Email-Cli­ents der gro­ßen Mail-Anbie­ter bereits. Bei Gmail sieht das etwa so aus:

IDN Fake Email Adresse

 

Ver­las­sen soll­ten Sie sich dar­auf aber nicht!

Daher soll­ten Sie – getreu dem Mot­to "Vor­beu­gen ist bes­ser als hei­len" – die fol­gen­den Rat­schlä­ge befol­gen, die Sie vor der­ar­ti­gen Angrif­fen schützen:

  • Ver­wen­den Sie einen Pass­wort­ma­na­ger zur Ver­wal­tung Ihrer Passwörter
  • Ver­wen­den Sie nie­mals das­sel­be Pass­wort für ver­schie­de­ne Dienste
  • Akti­vie­ren Sie die Mul­ti­fak­tor- bzw. 2‑Fak­tor-Authen­ti­fi­zie­rung bei Anbie­tern, bei denen dies mög­lich ist
  • Kli­cken Sie inbe­son­de­re bei "gro­ßen" Sei­ten, die ger­ne Opfer von Spam-Atta­cken wer­den, nie­mals Links in Emails an
    Rufen Sie statt­des­sen ein­fach die Sei­te des betref­fen­den Unter­neh­mens in Ihrem Brow­ser auf und mel­den Sie sich dar­über an. Dabei unter­stützt Sie auch Ihr Pass­wort­ma­na­ger – vor­aus­ge­setzt Sie set­zen eine ent­spre­chen­de Soft­ware bereits ein.

Wenn Sie die­se Rat­schlä­ge beher­zi­gen, kann Ihnen im Hin­blick auf homo­gra­phi­sche Angrif­fe nichts mehr passieren.

Ger­ne bera­ten wir Sie rund um das The­ma Cyber­si­cher­heit und schu­len Ihre Mit­ar­bei­ter. Spre­chen Sie uns noch heu­te dazu an!
Für Ihre Anre­gun­gen und Fra­gen zum The­ma kön­nen Sie auch ger­ne die Kom­men­tar­funk­ti­on am Ende der Sei­te nutzen.

Wei­ter­füh­ren­de Literatur

GMX News­room, 21.5.2019: Spam steigt um ein Drit­tel auf 150 Mil­lio­nen Mails pro Tag

Wiki­pe­dia: Inter­na­tio­na­li­sier­ter Domainname

DENIC eG: IDN-Web-Con­ver­ter

domain​-recht​.de: Lidl geht ent­schie­den gegen inter­na­tio­na­li­sier­te Domain-Namen wie lídl.eu vor

21. Mai 2019/von Jürgen Voskuhl
Schlagworte: 2FA, Phishing, Spam
Eintrag teilen
  • Teilen auf Facebook
  • Teilen auf Twitter
  • Auf WhatsApp teilen
  • Teilen auf Pinterest
  • Teilen auf LinkedIn
  • Teilen auf Reddit
  • Per E-Mail teilen
https://www.itcv-software.com/wp-content/uploads/2019/05/AdobeStock_38355335_600x402.jpg 402 600 Jürgen Voskuhl /wp-content/uploads/2018/11/Logo_itcv_claim.svg Jürgen Voskuhl2019-05-21 21:03:152019-05-24 15:23:55Spam/­Phis­hing-Emails: Vor­sicht vor Homo­glyphen und IDN-Domains!
Das könnte Dich auch interessieren
Zwei-Faktor-Authentifizierung (2FA2FA" srcset="https://www.itcv-software.com/wp-content/uploads/2019/03/2FA-180x180.png 180w, https://www.itcv-software.com/wp-content/uploads/2019/03/2FA-80x80.png 80w, https://www.itcv-software.com/wp-content/uploads/2019/03/2FA-36x36.png 36w, https://www.itcv-software.com/wp-content/uploads/2019/03/2FA-120x120.png 120w" sizes="(max-width: 180px) 100vw, 180px"> Rat­ge­ber: Zusätz­li­che Sicher­heit durch Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA)
Pass­wort-Sicher­heit: Lie­ber lang oder breit?
ING Online-Banking - Login1 Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) am Bei­spiel Online-Banking
Phishing Phis­hing: Das Böse lau­ert immer und überall!

News­let­ter

Kate­go­rien

  • Allgemein
  • Coronavirus
  • Datensicherung (Backup)
  • Energie & Umwelt
  • IT-Sicherheit
  • Klimakrise
  • Marketing
  • Mobilität
  • Off-Topic
  • Social Media
  • Software
  • Uncategorized
  • Verschlüsselung
  • Web-Design

Schlag­wör­ter

2FA Allianz für Cybersicherheit Automobilindustrie Backup BDSG Bitlocker Blutdruck Coronavirus COVID-19 Cryptomator Datendiebstahl Datenschutz Datensicherung Defender DSGVO E-Mail-Marketing EEG Energiewende Excel Facebook GoBD IT-Grundschutz IT-Sicherheit Klimaschutz Klimawandel Klimawandelleugner Kohleausstiegsgesetz Lobbyismus Microsoft Mobilität Mundschutz Newsletter Office 365 Passwort-Manager Passwortsicherheit PCsicher Phishing SARS-CoV-2 Solardeckel Stromlobby Strompreise Verschlüsselung Windows Windows 10 Zwei-Faktor-Authentifizierung
Kürzlich
  • Energiewende EEG 2021Ret­tet die Energiewende!24. November 2020 - 16:04
  • Johan Rockström10 Jah­re, um die Zukunft der Mensch­heit zu ver­än­dern...16. Oktober 2020 - 0:34
  • Lösungen - Ausreden

    Kli­ma­schutz 

    Nichts als Ausreden!10. Oktober 2020 - 11:12
  • Atomkraft Kernkraft

    Kern­ener­gie

    Gabor Stein­gart und die ver­ges­se­nen...10. August 2020 - 17:00
Beliebt
  • KohleausstiegDas Koh­le­aus­stiegs­ge­setz: Ein Rohrkrepierer7. Juni 2020 - 16:32
  • Jürgen Voskuhl (Portrait)itcv:Reloaded – Was steckt dahinter?12. November 2018 - 18:09
  • Wasserstoff statt CO2Die natio­na­le Was­ser­stoff­stra­te­gie: Fra­gen...15. Juni 2020 - 18:30
  • BundesregierungWel­che Ener­gie­wen­de will die Bundesregierung?23. Mai 2020 - 17:31
Kommentare
  • Reinhard StransfeldEinmal mehr hat ein namhafter Wissenschaftler den schrecklichen...19. Oktober 2020 - 18:17 von Reinhard Stransfeld
  • Ralf BoeckerZu Kosten der Umwandlung von elektrischer Energie in Wasserstoff: Abwägung...28. Juni 2020 - 13:18 von Ralf Boecker
  • Ralf Boeckerhttp://www.de.clientearth.org/absprachen-mit-kohlelobby-juristinnen-fordern-transparenz-per-eilverfahren...28. Juni 2020 - 12:24 von Ralf Boecker
  • Ralf Boeckerhttp://www.de.clientearth.org/absprachen-mit-kohlelobby-juristinnen-fordern-transparenz-per-eilverfahren...28. Juni 2020 - 12:14 von Ralf Boecker

Kon­takt

Fon +49.69.24742919–0
Fax +49.69.24742919–9
E‑Mail info@​itcv-​software.​com
Face­book

itcv GmbH

Solms­str. 71
D‑60486 Frankfurt

News­let­ter

Abon­nie­ren Sie jetzt unse­ren News­let­ter und erhal­ten Sie ab sofort infor­ma­ti­ve Bei­trä­ge zu allen wich­ti­gen IT-Themen!

Wir sen­den Ihnen höchs­tens zwei E‑Mails pro Monat. Sie kön­nen unse­ren News­let­ter jeder­zeit wie­der abbe­stel­len. Bit­te beach­ten Sie unse­re Daten­schutz­er­klä­rung. Mit dem Klick auf „Abon­nie­ren“ akzep­tie­ren Sie diese.

Unse­re Mission

Durch unse­re Bera­tung und mit unse­ren Lösun­gen für klei­ne und mitt­le­re Unter­neh­men sind die­se für Ihre Kun­den bes­ser erreich­bar, erhö­hen Ihre IT-Sicher­heit und opti­mie­ren Ihre Geschäftsprozesse.

WEITERSAGEN
  • Tei­len auf Facebook
  • Tei­len auf Twitter
  • Tei­len auf LinkedIn
  • Per E‑Mail teilen

SICHERHEIT

Ihre Daten sind bei uns sicher

Logo SSL-Verschlüsselung

Copyright © 2018-2020 itcv GmbH
  • Facebook
  • Twitter
  • AGB
  • Daten­schutz­er­klä­rung
  • Impres­sum
"Ame­ri­ca first“ oder: Wie (nicht nur) wir den... America first Hintertür - Backdoor Kei­ne Ver­schlüs­se­lung ist auch kei­ne Lösung! Nach oben scrollen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können. Oder klicken Sie auf "Cookie-Einstellungen", um Ihre Cookies selbst verwalten zu können.

Ich stimme zuCookie-Einstellungen

Cookie und Privatsphäre-Einstellungen



Wie wir Cookies verwenden

Wir verwenden Cookies, um Sie als wiederkehrenden Besucher zu erkennen und z.B. Inhalte speziell für Sie zugeschnitten zu präsentieren. Cookies ermöglichen aber auch Nutzungshäufigkeit, Verhaltensweisen und eindeutige Nutzerzahlen statistisch zu ermitteln, um die Website besucherfreundlicher und sicherer zu gestalten.

Klicken Sie auf die verschiedenen Überschriften, um mehr zu erfahren. Sie können auch einzelne Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Ihre Erfahrung auf unseren Websites und die von uns angebotenen Dienste beeinträchtigen kann.

Wichtige Website Cookies

Diese Cookies sind unbedingt erforderlich, um Ihnen die auf unserer Website verfügbaren Dienste zur Verfügung zu stellen und einige ihrer Funktionen zu nutzen.

Da diese Cookies zur Bereitstellung der Website unbedingt erforderlich sind, können Sie sie nicht ablehnen, ohne die Funktionsweise unserer Website zu beeinträchtigen. Sie können sie blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Website erzwingen.

Google Analytics Cookies

Diese Cookies sammeln Informationen, die entweder in aggregierter Form verwendet werden, um zu verstehen, wie unsere Website genutzt wird oder wie effektiv unsere Marketingkampagnen sind, oder um uns zu helfen, unsere Website und Anwendung für Sie anzupassen, um Ihre Erfahrung zu verbessern.

Wenn Sie nicht möchten, dass wir Ihren Besuch auf unserer Website verfolgen, können Sie das Tracking in Ihrem Browser hier deaktivieren:

Andere externe Dienste

Wir verwenden auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten wie Ihre IP-Adresse sammeln, können Sie diese hier blockieren. Bitte beachten Sie, dass dies die Funktionalität und das Erscheinungsbild unserer Website stark beeinträchtigen kann. Änderungen werden wirksam, sobald Sie die Seite neu laden.

Google Webfont-Einstellungen:

Google Karteneinstellungen:

Vimeo und Youtube Video bettet ein:

Datenschutz-Bestimmungen

Sie können unsere Cookies und Datenschutzeinstellungen im Detail in unserer Datenschutzerklärung nachlesen.

Daten­schutz­er­klä­rung
Accept settingsHide notification only