heise online: Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

To: debate@xxxxxxxxxxxxxx
Subject: heise online: Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick
From: Neko <neko@xxxxxxxxxxxxxx>
Date: Mon, 07 Feb 2005 14:24:21 +0100
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@xxxxxxxxxxxxxx; run by ezmlm
Mime_version: 1.0
Reply-to: Neko <neko@xxxxxxxxxxxxxx>
Sender: Neko <neko@xxxxxxxxxxxxxx>

Diese Meldung aus dem heise online-Newsticker wurde Ihnen von "Neko
<neko@xxxxxxxxxxxxxx>" gesandt. Wir weisen darauf hin, dass die
Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der
Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte. 
------------------------------------------------------------------------
Da kommt viel Spass auf uns zu...

Im Firefox kann man IDN abstellen (dann muss man aber auch konsequent
xn--mnchen-3ya.de verwenden).
------------------------------------------------------------------------

07.02.2005 12:47

Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern
(momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x.
und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der
Trick funktioniert so gut, dass man ihn sogar auf vermeintlich
SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full
Disclosure erschienenen Advisory ist eine Demo[1] verlinkt, die den
Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der
Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu
stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei
der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt.
Auch warnt der Browser nicht vor einem ungültigen Zertifikat. 

Angreifer und Phisher können diese Schwachstelle ausnutzen, um
täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter
und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance
festzustellen, dass die Seite gefälscht ist. Insbesondere der bei
vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf
seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des
vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig
ist, aber gar nicht für paypal.com ausgestellt wurde. 

Ursache des Problems ist die Unterstützung von Internationalized Domain
Names (IDN)[2], was die Verwendung länderspezifischer Sonderzeichen
ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode
seit dem 1. März 2004[3] Umlaute wie ä, ü und ö enthalten. Domain-Namen
können so aber auch etwa kyrillische Zeichen umfassen.
Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus
wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich. 

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit
ein kyrillsches a (http://www.p&#1072;ypal.com/). Dezimal 1072 steht in
Unicode für das kyrillische a. Der Link führt zu der in Punycode
geschriebenen Adresse "http://www.xn--pypal-4ve.com";, also nicht zum
Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für
www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.

Dass ähnlich aussehende Zeichen in Domain-Namen einmal
Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3451[4]
Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls
auf dieses Problem[5] hin und demonstrierten es anhand von
Microsoft-Domains.

Da Microsofts Internet Explorer momentan standardmäßig keine derartigen
internationalisierten Domain-Namen unterstützt, funktioniert der
Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf
Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie
man dieses Problem angehen will, ist deshalb derzeit noch unklar.
Anwender von Firefox und Mozilla können als Workaround die
Unterstützung von IDN deaktivieren, sodass der Phishing-Trick nicht
mehr funktioniert. In der Adressleiste gibt man dazu about:config ein
und setzt anschließend network.enableIDN auf false.

Siehe dazu auch:

The state of homograph attacks[6] von Eric Johanson
 
 (dab[7]/c't)

URL dieses Artikels:
  http://www.heise.de/newsticker/meldung/56110

Links in diesem Artikel:
  [1] http://www.shmoo.com/idn/
  [2] http://www.heise.de/newsticker/meldung/49291
  [3] http://www.heise.de/newsticker/meldung/45124
  [4] ftp://ftp.rfc-editor.org/in-notes/rfc3451.txt
  [5] http://www.heise.de/newsticker/meldung/27714
  [6] http://www.shmoo.com/idn/
  [7] mailto:dab@xxxxxxxxxxx

------------------------------------------------------------------------
Copyright 2005 Heise Zeitschriften Verlag

-- 
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx

Prev by Date: Re: Auflockerungen im Bankgeheimnis
Next by Date: Re: Auflockerungen im Bankgeheimnis
Previous by thread: Re: Auflockerungen im Bankgeheimnis
Next by thread: Datenschutz und "Besenreines Sterben".
Index(es):
- Date
- Thread