Spam ist kein einfaches Thema. Es gibt so viele unterschiedliche Arten von Spam-Mail, aber eben auch solche, die selbst auf den zweiten Blick fast unmöglich als Fälschung zu erkennen sind. Dabei geht es um Homoglyphen. Was ist das? Nun im Grunde handelt es sich um etwas, dass man schon bestimmt auch anderswo erlebt hat. Ähnliche Zeichen die zum Verwechseln gleich aussehen. Z. B. eine 0 oder ein O. In manchen Schriftarten ist das kaum zu erkennen. Vor allem in täuschend guten Spam-Mail von amazon.de wobei jedoch das a durch ein Sonderzeichen getauscht wurde. Daher werdet ihr nicht auf den originalen Online-Shop geleitet, sondern auf eine gefälschte Variante. Das ist die Punycode Falle.
Gesehen auf Heise
Was bedeutet Punycode?
Das ist ein Verfahren um Sonderzeichen in URLs zu "erlauben". Also in deutschen URLs vor allem ß, ä, ö und ü. Normalerweise sind eben nur a bis z und 0 bis 9 sowie der Bindestrich erlaubt. Mit Punycode sind im Grunde keine Grenzen mehr vorhanden bezüglich des Domainnamens.
Wie wahrscheinlich ist ein solcher Angriff?
Der Angriff ist sehr einfach durchzuführen. Man erstellt lediglich eine Kopie z. B. von Amazon. Erwirbt die ähnliche Domain dazu mit Homoglyphen. Und sendet Opfern diese präparierte Domain zu. Der Nutzer kann quasi nicht erkennen, ob es eine Fake-Webseite ist. Aber normalerweise sollte man bereits eingeloggt sein. Auf keinen also einfach wahllos neu einloggen!
Kann ich mich dagegen wehren?
Ja. Zum Beispiel mit einem PiHole wie im Video gezeigt. Denn die speziellen Domains haben vorne immer die gleichen Zeichen und diese lassen sich sehr leicht filtern. Alternativ einfach niemals in Mails auf URLs klicken. Oder aber klicken und dann checken, ob die Eingabe von Nutzername und Passwort wirklich notwendig ist. Im Zweifelsfall z. B. einfach selbst amazon.de eintippen.
Fazit
Der Punycode ist eine tolle Erfindung. Nur wie mit jeder Neuheit gibt es Nebenwirkungen. Diese werden hier sehr gerne von Betrügern genutzt. Doch in Zukunft kann man davon ausgehen, dass Browser diese Sonderzeichen besser kennzeichnen werden. Aktuell sollte man einfach zusätzlich vorsichtig sein.
Kommentar schreiben
André (Mittwoch, 15 April 2020 11:19)
Schon krank wie einfach neue Erweiterungen missbraucht werden. Und, dass keiner daran gedacht hat beim Entwickeln ist auch eine Katastrophe.
Gregor K. (Freitag, 17 April 2020 06:31)
Mega interessant, ist mir tatsächlich bisher einmal passiert. Erstmal gewundert und schon fast die Daten eingegeben. Einfach scheiße, dass man von Browsern da eher im Stich gelassen wird. Aber diese Domains kosten auch mehr. Von daher ist das sowas von ein bisschen ok :D
Artur (Donnerstag, 23 April 2020 08:16)
Mega gute Methode. Ich denke auch es zu wissen hilft zwar auch Leute auf dumme Gedanken zu bringen, hilft aber noch viel mehr Leute aufzuklären. Und die bösen Leute kommen eh an solche Informationen. Also super wichtig was du hier machst.