Was ist der Punycode-Phishing-Angriff und wie schützt man sich?

Das Internet birgt Gefahren. Vor kurzem haben wir über eine betrügerische E-Mail berichtet, die Nutzer zum Kauf eines gefälschten VPN-Dienstes verleiten sollte. Solche Betrugsversuche gefährden nicht nur Ihr Geld, sondern auch Ihre persönlichen Daten. Glücklicherweise gibt es für aufmerksame Nutzer Möglichkeiten, derartige Betrugsversuche zu erkennen. Jedoch sind nicht alle Betrugsmaschen leicht zu durchschauen. Dank einer raffinierten Methode namens Punycodes werden Phishing-Angriffe immer ausgefeilter. Diese Methode, ursprünglich nicht für betrügerische Zwecke gedacht, wird zunehmend dazu missbraucht. Im Folgenden erklären wir, was Punycode-Phishing ist und wie Sie sich davor schützen können.

Phishing-Angriffe im Detail

Bei einem Phishing-Angriff erstellt ein Betrüger eine bösartige Website, die einer vertrauenswürdigen Seite täuschend ähnlich sieht. So könnte beispielsweise eine Login-Seite von Google oder Facebook nahezu perfekt kopiert werden. Wenn man die URL nicht genau prüft, kann man leicht glauben, sich auf der echten Seite zu befinden. Gibt man dann seine Anmeldedaten ein, werden diese direkt an die Betrüger übermittelt.

Moderne Webbrowser bieten heutzutage einen hohen Sicherheitsstandard. Beim Besuch einer verdächtigen Webseite warnt der Browser meistens, dass die Seite möglicherweise nicht authentisch ist. Da Phishing-Angriffe weit verbreitet sind, ist es wichtig, als Nutzer stets wachsam zu bleiben.

Was sind Punycode-Domains?

Die Punycode-Domainregistrierung ermöglicht es, Domains mit fremdsprachigen, also nicht-englischen Zeichen zu registrieren. Das Konzept an sich ist sinnvoll: Man kann ein Zeichen einer Fremdsprache nehmen und es mittels Punycode in ein ASCII-Zeichen umwandeln. Wenn jemand in China beispielsweise eine Domain registriert, die speziell für Nutzer in China gedacht ist, ist es vorteilhafter, den Domainnamen in chinesischer Schrift zu haben, was die Einprägsamkeit erhöht.

Die Bedrohung durch Punycode-Phishing

Punycode transformiert Domains in Fremdsprachen oder solche mit Sonderzeichen in ASCII-Zeichen. Dabei wird leider nur eine Teilmenge des ASCII-Zeichensatzes verwendet, die schwer von gewöhnlichen englischen Zeichen zu unterscheiden ist.

Ein anschauliches Beispiel ist diese Webseite, die von Xudong Zheng erstellt wurde, um einen Punycode-Phishing-Angriff zu demonstrieren. Sie erscheint wie die echte Apple-Website, da die URL scheinbar „apple.com“ lautet. Tatsächlich lautet die wahre URL: „www.xn--80ak6aa92e.com“.

Xudong Zheng hat diese Schwachstelle erkannt und ausführlich beschrieben, wie man durch die Verwendung fremdsprachiger Zeichen die URL populärer Websites fälschen kann.

Wer ist gefährdet?

Die folgenden Browser sind anfällig:

  • Chrome Version 57 und älter
  • Firefox
  • Internet Explorer (insbesondere mit zusätzlichen Sprachpaketen, z.B. für Russisch)
  • Opera

Wer ist sicher?

Nutzer folgender Browser sind scheinbar sicher:

  • Microsoft Edge
  • Safari
  • Internet Explorer (wenn nur die englische Sprache installiert ist)

Sicherheitsmaßnahmen gegen Punycode-Phishing

Wie die Liste zeigt, sind einige der beliebtesten Browser gefährdet. Chrome und Firefox sind ebenso betroffen wie Opera.

Für Chrome-Nutzer gibt es gute Nachrichten: Ein Update auf Version 58 schließt die Sicherheitslücke. Versionen 57 und älter sind weiterhin anfällig.

Version 58 enthält die benötigten Korrekturen und ist als stabile Version erhältlich.

Für Firefox-Benutzer gibt es eine Einstellungsoption. In Firefox öffnen Sie die Seite „about:config“. Suchen Sie dort nach folgender Einstellung und doppelklicken Sie darauf, um den Wert auf „True“ zu setzen:

network.IDN_show_punycode

Für Opera gibt es noch keine offizielle Lösung. Sollten Sie eine Browsererweiterung kennen, die das Problem behebt, teilen Sie es uns gerne in den Kommentaren mit.

Passwortmanager als Schutz

Xudong Zheng empfiehlt, Passwortmanager zu verwenden, um sich zu schützen. Passwortmanager erkennen die aktuelle Domain automatisch und bieten die passenden Anmeldeinformationen an. Während der Browser sich möglicherweise von der gefälschten Domain täuschen lässt, erkennt der Passwortmanager diese Täuschung. Bietet er keine Anmeldeinformationen an, ist das ein deutlicher Hinweis darauf, dass Sie sich auf der falschen Seite befinden.

Mehr über Xudong Zheng