Phishing-Schwachstelle in vielen Browsern
Länderspezifische Sonderzeichen durch IDN-Standard
Bis zum 1. März letzten Jahres waren Umlaute, Akzente und sonstige länderspezifische Sonderzeichen in Domainnamen nicht erlaubt. Sie gehören nicht zum ASCII-Zeichensatz, der seit den Anfängen des Internets das für das Auffinden von Webadressen zuständige Domain Name System (DNS) prägt. Umlaute mussten bis dato in „ae“, „oe“ oder „ue“ aufgelöst werden. Kyrillische oder arabische Schriftzeichen wurden überhaupt nicht akzeptiert. Diese unbefriedigende Situation wurde mit dem Internationalized-Domain-Names-(IDN)-Standard beseitigt. IDN ermöglicht nunmehr auch die Verwendung von länderspezifischen Sonderzeichen.
Domainname und Webadresse nicht mehr identisch
Am Domain Name System (DNS) änderte der IDN-Standard nichts. Es versteht auch weiterhin nur Domainnamen im ASCII-Zeichensatz. Die Webadressen mit zusätzlichen Zeichen werden daher in Domainnamen übersetzt, die auch für das DNS interpretierbar sind. Das Verfahren, das die Übersetzung vornimmt, heißt ASCII Compatible Encoding (ACE). Es arbeitet mit einem Punycode genannten Algorithmus. Dieser Algorithmus produziert einen so genannten ACE-String. Beispielsweise macht Punycode aus dem Domainnamen „bücher.de“ den ACE-String „xn-bcher-kva.de“. An der vorangestellten Zeichenfolge „xn-„ erkennt das DNS, dass es sich um einen ACE-String handelt. Anhängsel wie „-kva“ enthalten Informationen über das zusätzliche Zeichen, dessen Position und die Wortlänge. Konsequenz ist, dass der Domainname (IDN-Name) nicht mehr identisch mit der Webadresse (DNS-Name) ist.
Wenn ein „a“ kein „a“ ist
Problematisch und für Internettrickbetrüger nutzbar wird die Angelegenheit dann, wenn ein Sonderzeichen äußerlich kaum von einem lateinischen Buchstaben zu unterscheiden ist. Dies ist beispielsweise beim kyrillischen und lateinischen „a“ der Fall. Am Beispiel der Domain des Internetbezahldienstes paypal.com lässt sich diese Problematik verdeutlichen. Unterstellt, das erste „a“ in paypal sei ein kyrillscher Buchstabe, würde die in Punycode übersetzte Webadresse nicht www.paypal.com, sondern www.xn--pypal-4ve.com lauten. In der Adresszeile derjenigen Browser, die IDN unterstützen, werden beide Domainnamen jedoch gleichermaßen als www.paypal.com angezeigt. Das Beispiel, das auf der Mailing-Liste Full Disclosure verlinkt ist, zeigt, wie groß die Verwechslungsgefahr gerade auch für Durchschnittsuser ist.
Schwachstelle seit zwei Jahren bekannt
Diese Verwechslungsgefahr könnten so genannte Phisher (Kunstwort aus Passwort und Fischer) ausnutzen, um arglose Surfer mit gefälschten Emails auf Fälschungen von bekannten Webangeboten wie paypal.com, aber auch microsoft.com zu lotsen und ihnen dort beispielsweise vorzugaukeln, sie müssten ihre persönlichen Daten erneut eingeben. Diese Schwachstelle im System und die Gefahren, die sich daraus ergeben könnten, sind übrigens schon seit rund zwei Jahren bekannt. In einer Untersuchung wiesen die beiden israelischen Informatikstudenten Evgeniy Gabrilovich Alex Gontmakher bereits 2003 auf diese Problematik hin – ohne Erfolg. Denn Phishing-Attacken im heute bekannten Ausmaß gab es zu jener Zeit noch nicht.
Internet Explorer nicht betroffen
Die meisten neueren Browser unterstützen International Domain Names und sind aus diesem Grunde auch für die beschriebene Phishing-Attacke anfällig. Betroffen sind laut heise online insbesondere die Webbrowser Mozilla 1.6, Firefox 1.0, Safari 1.2.5, Opera 7.54 sowie Konqueror 3.2.2. Nicht betroffen ist ironischerweise der Internet Explorer. Das Browserteam aus dem Hause Microsoft hat es bisher unterlassen, ihren Browser für IDNs fit zu machen. Lediglich mit Hilfe des Plug-Ins der Firma VeriSign kann der Internet Explorer auch etwas mit den neuen Sonderzeichen anfangen. Allerdings weist auch das VeriSign-Plug-In den beschriebenen Fehler auf.
Wie man nicht „abgephischt“ wird
Zwar gehen die Phishing-Mail-Betrüger insgesamt recht trickreich vor, doch der User ist ihnen keinesfalls schutzlos ausgeliefert. Es reicht, ein paar grundlegende Verhaltensregeln zu befolgen, und die Phishing-Netze bleiben leer. Seriöse Unternehmen und Banken schicken ihren Kunden niemals Mails, in denen sie die Angabe von vertraulichen Daten einfordern. Wer solche Mails erhält, sollte den dort angegebenen Link niemals anklicken. Wer sich auf Grund der Phishing-Nachricht Sorgen wegen seines Accounts oder seiner Zugangsdaten etwa zum Online-Banking macht, sollte sich immer direkt mit den entsprechenden Stellen in Verbindung setzen, also entweder eine Mail an die gewohnte Adresse schicken oder die entsprechende Firmen- oder Bankwebseite mit der gewohnten, meist gebookmarten Webadresse aufrufen.
Zurück zur News-Übersicht
