Support Forum

Böser Trick mit kyrrillischen Sonderzeichen und deren Abhilfe

Schlagworte:
  • Pishing

Zur Info: es gibt einen Trick, mit dem man durch bestimmte kyrillische Sonderzeichen im Domainnamen dem Browser

Ihr bekommt eine Email mit link zu https://apple.com, beim Überfahren des Link mit der maus wird klar https://apple.com angezeigt. Auch beim anklicken steht ganz klar : "sicher" und https://apple.com in der Adresszeile des Browsers

nur: das ist eine ganz andere Seite: statt dem latainischen "a" (U+0041) von apple beginnt der domainname mit dem Kyrillischen "a" (U+0430) usw.

Analog auf der Seite unten noch das beispiel zu epic.com. Mit dem Trick lassen sich auch beliebige andere Webseiten Domains wie Allplan.com, stadtsparkasse.de usw. problemlos nachbauen, so eine Domain kostet nur wenige euro im Jahr und dann ein kostenloses SSL Zertifikat installieren und die Pishing attacke kann beginnen.

siehe die Beispiele zum selber anschauen:
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

Abhilfe:
Firefox:
about:config => network.IDN_show_punycode;true

Google Chrome :
liefert die Tage wohl ein Update.

IE Edge und I.E. 11 :
machen es automatisch richtig, bzw.. können einfach nicht mit Sonderzeichen umgehen.

Opera
ist auch betroffen: Abhilfe uns unbekannt

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

Noscript würde das erkennen und die Seite erst mal blockieren, denke ich?
Man müsste aber aufmerksam genug sein, um die Domain nicht einfach zu erlauben...

Viele Grüße,
Kerstin

http://www.ncc-mitte.de
Autorisierter Allplan Partner in Weimar, Dresden, Leipzig, Braunschweig und Kassel

schwer zu sagen ob dann nicht trozdem im No-Script Kontext menü steht:

wollen sie Java Script für apple.com erlauben oder ob da steht wollen sie javascript für http://www.xn--e1awd7f.com erlauben ..

da auf den demoseiten kein Javascript eingebettet ist, kann man das auch nicth schnell mal so einfach testen.
darum : aktuell hilft nur FireFox mit der einfachen anpassung oben oder wie imm er aufpassen beim eierkauf .. .. (denn eine Empfehlung für den I.E: oder Edge werde ich nicht geben :-))

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

Hallo Jörg,

ich traue mich nicht auf deinen Link zu klicken.

gruß, Achim

den ersten ? mit apple.com oder den mit http://www.xn--e1 ???

Feigling . .! sind aber beides die gleichen links ...

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

Wie sieht das eigentlich mit Safari aus? Falls du das weißt...
Gruß Ulrike

Safari ist unter Mac und erhält meines wissens zusammen mit dem OS .. Da ich nur ein URALTES ipad im Büro habe und sonst keinen der auf dem Mac gerne mit Safari arbeitet. Unter windows gibts da meines wissens auch schon ewig keine neue Version mehr ..
also vermutlich auch böse

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

Zitiert von: kregenhardt
Noscript würde das erkennen und die Seite erst mal blockieren, denke ich? Man müsste aber aufmerksam genug sein, um die Domain nicht einfach zu erlauben...

Nein, auch no-script fällt ohne die FireFox Einstelung drauf rein :-(

Ohne die FireFox einstellung fragt er ob man apple.com freischalten möchte, mit der Einstellung wird korrekt die russische Domain angezeigt

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

Anhänge (1)

Typ: image/jpeg
215-mal heruntergeladen
Größe: 86,37 KiB