Noch eine beunruhigende Sicherheitsmeldung zum Feierabend: Ein russischer Spammer hat es geschafft, eine Domain Google.com zu registrieren. Nun versucht er über Google Analytics Besucher auf seine Domain zu locken. Hier ein paar Informationen, warum das höchst beunruhigend ist.
Vermutlich kennt das jeder Internet-Nutzer, dass Leute versuchen, sich Vertipper-Domains zu greifen. Fällt eigentlich nicht auf. Und bei Phishing-Versuchen greifen die Kriminellen auf vielfältige Tricks zurück, um die wahre URL zu verschleiern. Im Browser oder im E-Mail-Client wird aber beim Zeigen auf einen Link die volle Adresse eingeblendet und “Fälschungen” lassen sich leicht erkennen. Aber das ist jetzt passé!
Man kann URLs in der Schreibweise modifizieren, so dass das auf den ersten Blick nicht auffällt. Beispielsweise wäre g00gle.de so eine URL, wo ich das Zeichen 0 durch eine Null ersetzt habe. Auf den ersten Blick kann niemand erkennen, dass das keine Google-URL ist.
Neue Fake-Google-Domain von Spammer registriert
Nun ist es einem Spammer gelungen, eine Domain mit dem Namen ɢoogle.com (bitte nicht aufrufen) zu registrieren. Die URL ɢoogle.com sieht genau wie google.com aus – und wer diese URL im Browser eintippt, landet bei Google (Groß-/Kleinschreibung im Domainnamen ist egal). Ich verlinke mal nicht direkt auf die Spam-Seite, da ich nicht weiß, ob Google mich abstraft (bei futurezone.at ist die betreffende URL über die Überschrift abrufbar). Wer die URL aber kopiert und im Browser abruft, bekommt (momentan) folgende Webseite zu sehen.
Es kann aber auch andere Umleitungen geben, wie winfuture.at dokumentiert. Ihr kommt bei Eingabe von Google.com nicht auf die obige Umleitungsseite? Der Trick besteht darin, dass G in der URL als Unicode-Zeichen 0262 zu codieren. Das wird als verkleinerter Großbuchstaben G angezeigt. Die Details sind auf der Webseite nalyticsedge.com dokumentiert.
Das Problem bzw. das jetzt sichtbar gewordene Risiko
Das Problem bei diesem Ansatz: Offenbar hat ein Domain-Registrar richtig gepennt und dem Spammer ermöglicht, eine Domain Google.com zu registrieren, obwohl er nicht Google oder Alphabeth ist. Nun braucht man nur den Gedanken weiter zu spinnen.
Durch die International Domain Name-Konvention können mittlerweile beliebige Unicode-Zeichen in Domain-Namen auftreten. Ein Krimineller könnte eine solche Domain mit Unicode-Zeichen mit dem Namen anderer, bekannter Institutionen (z.B. Banken) registrieren. Dann reicht es, die betreffenden Links per Mail zu verschicken, um die Empfänger auf die Domain zu locken. An Hand der URL ist nicht erkennbar, dass sich der Nutzer auf einer gefälschten Webseite befindet.
Nur noch die Abfrage der https-Zertifikate würde einen Hinweis auf die möglicherweise falsche Identität der Webseite liefern. Aber einmal prüft das kaum ein Benutzer. Zum Zweiten ist es nicht ausgeschlossen, dass Kriminelle an gefälschte Zertifikate gelangen, und diese so aussehen lassen, als ob die betreffende Instanz (Bank, Firma etc.) dahinter steht.
Das ist ja schlimm… Vielen Dank für diesen wichtigen und informativen Hinweis!
Kann mich da nur wiederholen:
Die bösen Buben sind ganz schön einfallsreich.
Nachtrag:
In die URL-Leiste gebe ich selten etwas per Tastatur ein. Meist gelange ich zur gewünschten Seite mittels Lesezeichen oder Suchmaschine , die auch über Lesezeichen aufgerufen wird.
Das ganze ist doch nicht neu!!!
Schon 2002 wurde vor dem Schwachsinn der IETF gewarnt!!!
Zwei israelische Studenten warnen vor den IETF-Plänen, Unicode für URLs einzuführen — auf einfache Weise könne man „gefälschte“ Websiten bauen, die vortäuschen, auf einer anderen, bekannten Domain zu liegen.
Quelle:
Domain-„Hijacking“ auf kyrillisch
http://www.heise.de/newsticker/meldung/Domain-Hijacking-auf-kyrillisch-62052.html
Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick [Update]
http://www.heise.de/newsticker/meldung/Umlaute-in-Domain-Namen-ermoeglichen-neuen-Phishing-Trick-Update-132814.html
Was haben Firmen wie Microsoft oder Apple etc. getan?
Wir haben hier zunehmend Klicki-Bunti-10-Trolle, aber gegen solche Dinge wird von Firmen, die die Marktmacht hätten, einfach nichts unternommen.
:-(
Und das ist gut so, denn sonst hätte ich meine Domain nicht!
Beim Firefox gibt es übrigens eine ganz einfache Möglichkeit, als dummer „ich klicke jeden Link an“-Nutzer zumindest mit einem Blick auf den URL doch noch eventuell mitzubekommen, dass man nicht da ist, wo man zu sein glaubt:
about:config eingeben
idn_show_punycode suchen
von false auf true umstellen
fertig
Danke für die Ergänzung – ist an mir wohl vorbei gegangen. Aber es kann ja nicht schaden, Anno 2016 auf das Problem hinzuweisen – speziell auf Facebook haben sich einige Leute für den Artikel interessiert (Mission accomplished, hätte Georg Bush geflüstert).