Phishen mit einem Apfel als Köder
Click here for english version.
Wie in den Artikeln Die Geschichte des ᴏ und Wie ich zum Opfer wurde schon beschrieben, ist es möglich, einen erfahrenen Security- und Awareness-Experten mit Hilfe von internationalisierten Domains auszutricksen. Das liegt daran, dass ihm die Software auf dem Endgerät keine Möglichkeit gibt ein ᴏ von einem o zu unterscheiden.
Einen Teil dieser Erkenntnisse habe ich aufbereitet und als Sicherheitsproblem bei Apple gemeldet. Im Rahmen der Veröffentlichung von iOS 11 wurden die Sicherheitsrisiken jetzt vermindert. In diesem Beitrag möchte ich das Risiko und die Auswirkungen noch einmal detailliert beleuchten, und die Anpassungen, die Apple jetzt vorgenommen hat, bewerten.
Das Risiko der kleinen Großbuchstaben
Im Rahmen der Regeln für com und net-Domains gibt es trotz aller mittlerweile bestehenden Regeln besonders gefährliche Zeichen für Homoglyph-Angriffe:
Die sehr unauffällige Gruppe der Small Capital Letters, also der kleinen Großbuchstaben. Sie sind immer dann ein Problem, wenn der Kleinbuchstabe eine Miniaturausgabe des Großbuchstaben ist.
Das Potential der Domains mit diesen Zeichen für Phishing ist enorm: man kann damit Identitäten simulieren, die der Ziel-Domain zum Verwechseln ähnlich sind.
Small Capital Letters
Das sind die Zeichen, die ein Problem darstellen: Je nach verwendetem Browser und Zeichensatz, ist der Unterschied zum normalen Buchstaben in dieser Darstellung schon nicht mehr zuerkennen:
| Zeichen | Unicode | Name |
|---|---|---|
| ᴄ | U+1D04 | LATIN LETTER SMALL CAPITAL C |
| ᴏ | U+1D0F | LATIN LETTER SMALL CAPITAL O |
| ꜱ | U+A731 | LATIN LETTER SMALL CAPITAL S |
| ᴜ | U+1D1C | LATIN LETTER SMALL CAPITAL U |
| ᴠ | U+1D20 | LATIN LETTER SMALL CAPITAL V |
| ᴡ | U+1D21 | LATIN LETTER SMALL CAPITAL W |
| ᴢ | U+1D22 | LATIN LETTER SMALL CAPITAL Z |
| ɡ | U+0261 | LATIN SMALL LETTER SCRIPT G |
Das zuletzt aufgeführte ɡ ist streng genommen aus einem anderen Bereich der Unicode-Tabellen, führt aber zum gleichen Ergebnis: einem sehr ähnlichen Buchstaben zum normalen lateinischen Alphabet. Dieses ɡ ist relativ lange schon als riskantes Zeichen bekannt, und wird beispielsweise in dieser Analyse zur Bewertung der Vermeidung von Homoglyph-Attacken herangezogen.
Täuschend echt wirkende Domainnamen
Einige Domains mit den oben aufgelisteten Zeichen wurden von uns registriert und werden beispielsweise im Rahmen unserer Awareness-Projekte verwendet.
Hier beispielhaft einmal ein paar Domains, die das Risiko der optischen Kollisionen darstellen:
| xn-Notation | Unicode Domain | Verwechslungsgefahr |
|---|---|---|
| xn--t-26l.com | tᴏ.com | to.com |
| xn--mx-igb.net | ɡmx.net | gmx.net |
| xn--lie-t6x.com | liᴠe.com | live.com |
Das Risiko in Bezug auf diese Domains entsteht durch die Darstellung in den Clients.
In der technischen Darstellung xn-- sind die Domains völlig ungefährlich, die Domain ist für Menschen mehr oder weniger unlesbar. In der Unicode-Darstellung sind die besonderen Zeichen, abhängig vom lokalen Schriftbild, oft nur minimal abweichend oder im direkten Vergleich zu unterscheiden. Auch kann man den ersten Test schon beim Betrachten der Tabelle machen: Sind die Buchstaben auf meinem Endgerät im Text zu unterscheiden?
Wie verhält sich meine Software?
Um zu prüfen, wie die URLs im Browser dargestellt werden, kann man diesen Link verwenden: http://cᴄ.oᴏ.sꜱ.uᴜ.vᴠ.wᴡ.zᴢ.mailgw.de/
Je nach Gerät und Software können hier sehr unterschiedliche Effekte sichtbar werden.
Aktuelle Betriebssysteme und Anwendungen sind normalerweise in der Lage, IDN-Domains als Unicode-Zeichen darzustellen. Auch der umgekehrte Weg, das Annehmen von Unicode-Zeichen und die zugehörige Übersetzung für die technische Notation für die Ausführung von Anfragen, funktioniert in der Regel.
Da seit ihrer Einführung die IDN-Domains immer wieder durch Zeichen-Ähnlichkeiten oder Kollisionen negativ auffallen, gibt es nicht nur Reglen und Empfehlungen für Domain-Registrare sondern auch für Programmierer und bestimmte Arten von Anwendungen.
Hervorzuheben sind hier die beiden Dokumente aus dem Unicode Technical Standard, Nummer #39 UNICODE SECURITY MECHANISMS und #36 UNICODE SECURITY CONSIDERATIONS.
Wo können diese Domains überall auftauchen?
Die Verwendung dieser Domainnamen in URLs ist praktisch überall möglich.
Einmal als Absender in E-Mails, aber auch als Link-Ziel oder Nachlade-Ziel in E-Mail-Inhalten und ebenso in allen Internet-Seiten, also Ziele oder Links.
Das sind auch die primäre Angriffsmechanismen für Phishing, nämlich verwechselbare E-Mail-Adressen und verwechselbare Web-Adressen und damit sind das Ziel der Angriffe die E-Mail-Clients und Web-Browser.
Auf den Apple iPhones und iPads vor iOS Version 11 wurden alle, auch die kritischen Homoglyphen, im Browser Safari als Unicode-Zeichen dargestellt:
Kleines Detail am Rande: Das kleine große ꜱ war im Zeichensatz gar nicht enthalten und wurde durch einen Platzhalter ersetzt.
Seit iOS 11 werden URLs mit diesen Domainnamen nur noch in der xn-Notation dargestellt:
Aus optischer Sicht ungefährliche IDN-Domains, wie beispielsweise http://belwü.de/ werden weiterhin in der Unicode-Optik dargestellt, damit setzt Apple die Regeln um, wie auch Google und Microsoft sie gößtenteils umsetzen, wobei bei diesen Herstellern, und beispielsweise auch bei Firefox, noch Optionen zur Konfiguration existieren, die das komplette Abschalten der Unicode-Darstellung forcieren.
Alles in allem hat Apple jetzt auch mit der Software auf seinen Geräten nachgezogen, um Benutzern die Chance zu geben, IDN-Domains mit Homoglyphen von den normalen Zeichen überhaupt zu unterscheiden. Unabhängig davon bleibt zu sagen, dass im Umfeld der Unicode-Domains immer wieder Überraschungen auftauchen werden.
Erste weitere Tests haben gezeigt, dass gerade Webmailer, egal ob professionelle Dienste oder auch freie Software für den Eigengebrauch, ebenfalls anfällig sind für Absender und Links mit IDN-Domains.
Hinweis in den Release-Notes von Apple: iOS 11 und Safari 11
1 Kommentar