Bitterböser Hackertrick, vorsicht ...

ralfinger

Aktives Mitglied
Thread Starter
Dabei seit
16.07.2004
Beiträge
4.103
Reaktionspunkte
637
Hallo allezusammen,
ich hab heute ne unglaubliche Sache in Mac-TV gesehen. Die "bösen Buben" haben einen neuen, fast unabwehrbaren Weg gefunden an Passwörter, Kontodaten usw. zu kommen. Lest Euch das bitte durch, damit Ihr Euch dementsprechend schützen könnt, die Hard- und Softwarehersteller können in diesem Falle ncht viel tun, bzw. haben es noch nicht getan:

Die Vorgeschichte:

Zunächst für alle die noch nie den Begriff "Phishing" gehört haben. Beim sogenannten "Phishing" erstellt der Angreifer, der Euch schaden will eine Internetseite, die bis aufs Haar der Eurer Bank, Eurer Kreditkartenfirma oder sonst sensiblen Dingen gleicht. Ihr erhaltet eine Email, z.B. mit der Bitte Euch wegen eines Serverausfalls neu zu registrieren. Natürlich ist in der seriös wirkenden Mail ein Link. Wenn Ihr dem folgt landet Ihr allerdings nicht auf der Seite der Bank, sondern auf einer Seite, die Ihr nur zum Verwechseln ähnlich sieht. Dort gebt Ihr Eure Daten ein, die werden gespeichert. Danach erhaltet ihr die Nachricht "Login fehlgeschalgen" und man leitet Euch zu Eurer echten Bank weiter, wo eigentlich alles beim alten ist und Ihr zwar den Kopf schüttelt, aber zunächst mal nichts merkt. Während dessen räumt der "böse Bube" mit den von Euch netterweise übermittelten Benutzerdaten Euer Konto ab. Der aufmerksame Leser sagt jetzt "Ja aber das sehe ich ja am Domainnamen, ob das meine Bank ist oder nicht." RICHTIG! Die Hacker können ja nicht eine zweite Domain mit gleichem Namen wie Eure Bank haben, also schalten sie eine Domain für Ihr Vorhaben frei, die der der Bank ähnlich ist. Z.B.: Spar-kasse.de, anstelle von Sparkasse. Wenn man da nicht aufpasst, die Seite ausschaut wie immer, usw. - sitzt man in der Falle. Das ist uns aber allen schon lange bekannt und nicht wirklich etwas Neues. Das machen 12 Jährige aus Langeweile nach den Hausaufgaben. Wir achten eben auf die Domains, usw...

Jetzt kommts:

Seit kurzem gibt es Domains, die es gestatten Umlaute und Sonderzeichen zu verwenden. Und was ich heute bei Mac-TV gesehen habe ist so frech, dass einem die Luft weg bleibt. Es gibt z.B. im Kyrillischen oder in der Asiatischen Schrift Zeichen, die unserer lateinischen Schrift so ähnlich sind, dass man den Unterschied mit blossem Auge nicht mehr feststellen kann. In dem Beispiel von Mac-TV, dreht es sich um den Buchstaben "a". Dieser existiert nicht nur als lateinisches a, sondern auch als Sonderzeichen in irgendeinem ausländischen Zeichensatz. Das ist aber nicht der einzige. Dieses a kann in der nepalesischen Schrift eigentlich ein Ausrufezeichen sein oder im taiwanesischen "Vorsicht bissiger Hund!" bedeuten, oder sonstwas, das wissen die Übersetzer oder Grafiker unter Euch besser als ich. Und Ihr ahnt es schon ... ja - man kann damit eine Domain eröffnen.
Z.B. Volksbank, Sparkasse, Ebay, Lufthansa oder Paypal. Und hier sind wir schon beim Thema: Paypal ist eine Firma, die Geld für Internetkäufe abrechnet. Die Firma ansich ist seriös und arbeitet z.B. Hand in Hand mit Ebay. Bitte folgt jetzt mal diesem Link:

http://www.mac-tv.de/idn_phishing.html

Nein, Ihr landet nicht auf der Seite von Paypal, obwohl Ihr haargenau die selbe Domain-Adresse habt. Wie geht das denn nun? Na, so wie ichs gerade gesagt habt. Kopiert bitte mal die Domain in eine Textverarbeitung. Vergrößert die Schrift auf höchste Größe und Ihr werdet erkennen, dass es sich um zwei unterschiedliche "a" handelt. Das erste a stammt aus einem Sonderzeichensatz einer Fremdsprache, das zweite a ist unser lateinisches. Als ich das gesehen hab, hats mir ehrlich gesagt die Sprache verschlagen, da man sich dagegen eigentlich kaum schützen kann. Der Webbrowser erkennt das ja nicht. Soll er ja auch nicht. Seit kurzem soll er ja Umlaute schlucken.

Unglaublich oder?

Es gibt mittlerweile auch einen Schutz-Hack für Safari, den solltet Ihr über die Beispielseite ansurfen können. Im zweifelsfall schaut mal bei Mac-TV, ich denke die Sendung gibts auch bald zum Download. Ich hoffe ich hab jetzt keinen alten Käse erzählt. Für mich wars was Neues.

Liebe Grüße Ralf
 
Zuletzt bearbeitet von einem Moderator:
Oh man....
erst dachte ich an einen sarkastischen "Schmunzelecke"-Thread oder so......
Aber..... hmmmm...... grausig!!!!
Leider gehen die Links nicht bei mir (404)....
//edit: nun gehen sie - danke!!
Gut daß du sowas sagst......


//edit: Das ist ja echt unglaublich... ICH hätt es nicht gemerkt!!
 
Zuletzt bearbeitet:
Hat sich durch editieren von Ralfinger erledigt;)
 
Zuletzt bearbeitet:
ralfinger schrieb:
Während dessen räumt der "böse Bube" mit den von Euch netterweise übermittelten Benutzerdaten Euer Konto ab. Liebe Grüße Ralf

ok, so weit so gut, aber wie kommt der böse bube an meine Tans? ohne die geht gar nix...

ausserdem, die einzigen solcher emails die ich erhalte sind
1. nicht seriös
und
2. nicht von meiner bank

ausserdem habe ich von meiner bank noch nie ne email bekommen, wenn irgendwas ist rufen die an ;)
 
ich glaube das geht nur mit browsern , die die neuen domainnamen mir sonderzeichen nach ansi ? code erlauben. der IE macht das meine ich nicht
 
Habs verbessert, jetzt kann man dem Link folgen. Sorry, aber bei sonem längeren Post brauch ich ein wenig Zeit bis alles stimmt. Gruß
 
Zuletzt bearbeitet:
Das heißt also, nie über einen Link einloggen, der per email kommt!
 
cbecker-nrw schrieb:
ok, so weit so gut, aber wie kommt der böse bube an meine Tans? ohne die geht gar nix...

Na genau auf dem selben Weg, die gibst Du doch schließlich auch ein.

Gruß Ralf ;)
 
danke für den hinweis! ist ja echt grausig, da verzichte ich doch lieber auf die ä's und ü's und den ganzen anderen zeichen des unicode in der url :( leider jetzt nicht mehr rückgängig zu machen das ganze
 
Aber trotzdem ein alter Hut, typischer Fall von PEBKAC.
 
mkninc schrieb:
Aber trotzdem ein alter Hut, typischer Fall von PEBKAC.

Na da siehste mal. Für mich wars neu. Gut, dass ichs jetzt weiss. Aber sooo alt kanns wiederum auch nicht sein, da die Domains mit Umlauten und Sonderzeichen ja erst seit kurzem zugelassen sind. Ausser PEBKAC (problem sits between keyboard and chair), haha :D
Das gibts tatsächlich schon länger und wirds immer geben.

Gruß
 
Zuletzt bearbeitet:
Ich meine allgemein dieser ganze Phishing kram, das ist alt. Wer halt irgendwelchen Links aus Emails und anderen Quellen für seine Bankgeschäfte und andern wichtigen Sachen nutzt, ist selbst schuld.
Ist halt nur eine weitere Variante für Social Engineering.
 
Zuletzt bearbeitet:
mkninc schrieb:
Ich meine allgemein dieser ganze Phishing kram, das ist alt. Wer halt irgendwelchen Links aus Emails und anderen Quellen für seine Bankgeschäfte und andern wichtigen Sachen nutzt, ist selbst schuld.

Ja das hab ich ja geschrieben. Natürlich kennen wir das alle, aber damit erreichts irgendwie ne ganz neue gefährliche Qualität, oder? Ich finds vorallem schlimm, dass wir uns das selber mit dem Schreien nach Sonderzeichen in Domains eingebrockt haben. Außerdem find ich, dass man sichs manchmal zu einfach macht. Ich sag ja auch gerne mal lapidar (gerade heute Mittag hier im Forum): Wer WEP statt WPA nutzt iss selbst schuld. Aber mal ehrlich ... erklär das alles mal Deiner 60 jährigen Mutter. Man sollte den Computer auch sicher nutzen können, wenn man nicht Informatiker ist. Naja, Du weisst ja was ich meine.

Gruß Ralf
 
Zuletzt bearbeitet:
Stimmt schon, den Sinn von Umlautdomains hab ich noch nicht ganz begiffen.

Man sollte den Computer auch sicher nutzen können, wenn man nicht Informatiker ist. Naja, Du weisst ja was ich meine.
Ja, das kenne ich nur zu genüge.

Aber man muss und kann auch nicht alle Eventualitäten abfangen. Im Straßenverkehr lässt man sich ja auch nicht überfahren nur weil ein Auto auf einmal eine andere Farbe hat. Die Nutzer müssen halt auf die generellen Risiken hingewiesen werden. Aber in der Werbung wird natürlich alles mit dem Motto "Alles easy und sicher " beworben.
 
Zuletzt bearbeitet:
mkninc schrieb:
Stimmt schon, den Sinn von Umlautdomains hab ich noch nicht ganz begiffen.

naja, eigentlich ist das ja ein muss zur heutigen zeit, oder? jetzt gibts auch www.müller.de, ich meine, die lassen sonden zum mars fliegen und bis vor kurzem konnte man umlaute und andere zeichen nichtmal in seiner domain verwenden :rolleyes:

dumm nur das es sooo viele zeichen gibt, wo sich auch noch jeweils 50 so ähneln das man den unterschied in der adressleiste nicht bemerkt...
 
Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.

Angreifer und Phisher können diese Schwachstelle ausnutzen, um täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gefälscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig ist, aber gar nicht für paypal.com ausgestellt wurde.

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für http://www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.

Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin und demonstrierten es anhand von Microsoft-Domains.

Da Microsofts Internet Explorer momentan standardmäßig keine derartigen internationalisierten Domain-Namen unterstützt, funktioniert der Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar. Anwender von Firefox und Mozilla können als Workaround die Unterstützung von IDN deaktivieren, sodass der Phishing-Trick nicht mehr funktioniert. In der Adressleiste gibt man dazu about:config ein und setzt anschließend network.enableIDN auf false.

Update
Der Workaround für Mozilla und Firefox scheint nur zu funktionieren, solange man den Browser nach dem Abschalten der Option nicht schließt. Andernfalls ist zwar die Funktion weiterhin auf false gesetzt, der Aufruf der genannten Domain funktioniert aber trotzdem.
 
michanismus schrieb:
naja, eigentlich ist das ja ein muss zur heutigen zeit, oder? jetzt gibts auch www.müller.de, ich meine, die lassen sonden zum mars fliegen und bis vor kurzem konnte man umlaute und andere zeichen nichtmal in seiner domain verwenden :rolleyes:

dumm nur das es sooo viele zeichen gibt, wo sich auch noch jeweils 50 so ähneln das man den unterschied in der adressleiste nicht bemerkt...
Ja, aber welchen Sinn macht das?
Und was macht der Geschäftspartner von Herrn Müller aus den USA, wenn er eine email schicken will?
Es macht schon Sinn einen eingeschränkten, aber gemeinsamen Standard zu benutzen.
OK, Unicode ist auch ein Standard, aber er enthält nunmal auch viele Zeichen, die nicht jeder Region der Welt genutzt werden.
 
Zuletzt bearbeitet:
mkninc schrieb:
Und was macht der Geschäftspartner von Herrn Müller aus den USA, wenn er eine email schicken will?

Er nimmt eben xn--mller-kva.de als Domain, genau wie jeder andere, der noch weniger aktuelle Software verwendet :D

Die meisten Inhaber einer Umlaut-Domain geben diese nach meiner Erfahrung wieder auf, wenn sie die tatsächliche Darstellung mal gesehen haben...
 
ich bin beinahe auf so eine Fake Ebay USA Email reingefallen, ist nichts neues, zum Glück auch nichts passiert, aber eben blöd, ne?
Ich jetzt lösche immer gleich diese Account Aktualisierungsscheiße...
 
Auf Macoshints.ch gibt´s ein Applescript, welches diesen Trick abfängt und uns wieder schützt.
 
Zurück
Oben Unten