Was ist Punycode? Gefälschte Domains, die das menschliche Auge täuschen

Was ist Punycode?

Punycode
Nomen
Unicode, der Wörter, die nicht in ASCII geschrieben werden können, wie das griechische Wort für „Danke“ „ευχαριστώ“ in eine ASCII-Codierung wie „xn--mxahn5algcq2e“ zur Verwendung als Domänennamen umwandelt.
Was bedeutet das eigentlich?!

Schreiben mit Zahlen

Wie bei allen Dingen, die mit Computern zu tun haben, läuft alles auf Zahlen hinaus. Jedem Buchstaben, Zeichen oder Emoji, den/das wir eingeben, ist eine eindeutige Binärzahl zugeordnet, damit unsere Computer sie verarbeiten können.ASCII, ein Standard für die Zeichenkodierung, verwendet 7 Bits, um bis zu 127 Zeichen zu kodieren, genug, um das Alphabet in Groß- und Kleinbuchstaben, die Zahlen 0-9 und einige zusätzliche Sonderzeichen zu kodieren. Der Nachteil von ASCII ist, dass es Sprachen wie Griechisch, Hebräisch und Arabisch nicht unterstützt. Hier kommt  Unicode ins Spiel, das 32 Bits zur Codierung von bis zu 2.147.483.647 Zeichen verwendet! Unicode gibt uns genügend Möglichkeiten, jede Sprache und sogar unsere ständig wachsende Sammlung von Emojis zu unterstützen.

Wo kommt also Punycode ins Spiel?

Mit Punycode lassen sich Wörter, die nicht in ASCII geschrieben werden können, in eine Unicode-ASCII-Codierung umwandeln. Warum sollten Sie das tun? Das globale Domain Name System (DNS), das Benennungssystem für alle mit dem Internet verbundenen Ressourcen, ist auf ASCII-Zeichen beschränkt. Mit Punycode können Sie Nicht-ASCII-Zeichen in einen Domänennamen einbinden, indem Sie einen „Bootstring“zur Kodierung von Unicode als Teil eines komplizierten Kodierungsprozesses erstellen.

Wie funktioniert ein Punycode-Angriff?

Unicode-Zeichen können auf den ersten Blick gleich aussehen, aber in Wirklichkeit eine andere Webadresse haben. Einige Buchstaben des römischen Alphabets, das in den meisten modernen Sprachen verwendet wird, haben die gleiche Form wie Buchstaben im griechischen, kyrillischen und anderen Alphabeten, sodass es für einen Angreifer ein Leichtes ist, einen Domainnamen zu lancieren, der einige ASCII-Zeichen durch Unicode-Zeichen ersetzt. Beispielsweise könnte man ein normales T gegen ein griechisches Tau austauschen: τ, der Benutzer würde das fast identische T-Symbol sehen, aber der Punycode dahinter, der vom Computer gelesen wird, ist tatsächlich xn--5xa. Je nachdem, wie der Browser diese Informationen in der Adressleiste darstellt, sind diese heimtückischen kleinen Zeichen für uns Menschen nicht zu erkennen.
Diese Technik wird als homograph attack bezeichnet. Die URLs sehen legitim aus, und der Inhalt der Seite könnte auf den ersten Blick derselbe sein. Aber in Wirklichkeit handelt es sich um eine andere Website, die eingerichtet wurde, um die vertraulichen Daten des Opfers zu stehlen oder das Gerät des Benutzers zu infizieren. Diese Angriffe nutzen gängige Techniken wie Phishing, erzwungene Downloads und Betrug.

Einfach nur im Internet surfen – ist Punycode in allen Browsern ein Problem?

Standardmäßig verwenden viele Webbrowser das Präfix xn--, das als ASCII-kompatibles Codierungspräfix bekannt ist, um dem Webbrowser anzuzeigen, dass die Domäne Punycode zur Darstellung von Unicode-Zeichen verwendet. Dies ist eine Maßnahme zum Schutz vor Homograph-Phishing-Angriffen. Allerdings wird das Punycode-Präfix nicht in allen Browsern angezeigt, sodass die Besucher nichts davon mitbekommen.
Hacker können die Schwachstelle in den Browsern ausnutzen, die das Präfix nicht verwenden, um ihre gefälschten Domänennamen als Websites legitimer Dienste anzuzeigen und so die Anmeldedaten, Kreditkartennummern und andere sensible Informationen von Benutzern zu stehlen.
In diesem Beispiel entdeckte der chinesische Sicherheitsforscher Xudong Zheng eine Schwachstelle, die es ihm ermöglichte, den Domänennamen xn--80ak6aa92e.com zu registrieren und den Schutz zu umgehen. Der Domänenname wird von allen anfälligen Webbrowsern, zu denen damals Chrome, Firefox und Opera gehörten, als „apple.com“ angezeigt. Internet Explorer, Microsoft Edge, Apple Safari, Brave und Vivaldi waren nicht anfällig.
Unsere aktuellen Untersuchungen zeigen das folgende Verhalten in den beiden großen Webbrowsern Chrome und Safari:

• Chrome – zeigt oft den unübersetzten Punycode mit dem Präfix an. Wenn das System nicht sicher ist, ob die Website verdächtig ist oder nicht, wird sie nicht in Unicode übersetzt, aber Sie können die Website trotzdem besuchen. Ist es sicher, dass es sich um eine bösartige Website handelt, erscheint die Warnmeldung „Deceptive Site ahead“ (Betrügerische Website voraus).

• Safari – übersetzt den Punycode in den meisten Fällen in Unicode-Zeichen. Wenn das System sicher ist, dass es sich um eine bösartige Website handelt, erscheint die Warnmelung „Desceptive Site ahead“, übersetzt aber dennoch den Punycode in Unicode-Zeichen.

Können Punycode-Angriffe auf mobilen Apps ausgeführt werden?

Punycode-Angriffe können sowohl auf dem Desktop als auch auf Mobilgeräten stattfinden, da die verschiedenen Browser-Entwickler dazu neigen, Punycode auf allen Plattformen gleich zu behandeln. Kurz gesagt, wenn Unicode auf einem Gerät für einen Benutzer angezeigt wird, geschieht dies auf allen Plattformen. Der Großteil der aktuellen Forschung zu Punycode konzentriert sich auf auf die Art und Weise, wie Browser diese Domänen behandeln. Aber unsere Forschung reicht über den Browser hinaus, um zu zeigen, dass der Umgang von Apps mit Punycode genauso wichtig ist. Bei unseren Tests haben wir festgestellt, dass betrügerische Punycode-Domänen von den gängigen Kommunikations- und Kollaborationstools, die von den Mitarbeitern verwendet werden, nicht als verdächtig eingestuft werden. Wir haben die folgenden Apps auf iOS- und Android-Geräten getestet: Gmail, Apple Mail, iMessage, Message+, Whatsapp, Facebook Messenger, Skype und Instagram. Nur Facebook Messenger, Instagram und Skype ermöglichten es dem Nutzer, die Punycode-URL zu identifizieren, indem sie entweder eine Vorschau der Webseite mit dem Präfix xn anzeigten oder, im Falle von Skype, keinen Hyperlink für Domänen mit Unicode anboten, was bedeutet, dass die Nutzer nicht von der Nachricht aus weiterklicken können. Auch wenn diese Apps nicht die besten Schutzmaßnahmen darstellen, so bieten sie doch zumindest die Möglichkeit, verdächtige Links genauer zu prüfen.

Es scheint also, dass die meisten Apps durch die Anzeige des trügerischen Unicodes die Benutzerfreundlichkeit verbessern wollen, anstatt Sicherheit zu bieten, um bösartige Websites abzufangen. Ein Teil der Verantwortung sollte bei den Entwicklern dieser Apps liegen, um sicherzustellen, dass mehrere Sicherheitsebenen durchgesetzt werden, um diese Angriffe wirksam abzuwehren.

Warum sind Punycode-Angriffe besonders auf dem Mobiltelefon ein größeres Problem?

Bei unserer Untersuchung von Punycode-Angriffen auf Mobiltelefone haben wir eine Reihe neuer bösartiger Domänen identifiziert (im Folgenden aufgeführt). Auf diesen Websites werden nicht nur Phishing-Angriffe auf Domänen durchgeführt, die für die Benutzer optisch irreführend sind, sondern sie sind auch für Mobiltelefone optimiert,  was bedeutet, dass die Hacker wissen, wie schwierig es für mobile Benutzer ist, betrügerische URLs zu erkennen. Da diese Angriffe auf Nutzer mobiler Geräte abzielen, führen sie zu erfolgreicheren Phishing-Kampagnen.
Phishing-Angriffe sind auf mobilen Endgeräten aus verschiedenen Gründen im Allgemeinen schwieriger zu erkennen – dies wird nahezu unmöglich, wenn Punycode eingefügt und korrekt angezeigt wird.

• Kleinere Bildschirme lassen weniger Raum, um die Legitimität einer Website zu bewerten
• Das Design des Betriebssystems blendet in der Regel die ohnehin winzige Adressleiste aus, wenn der Nutzer nach unten scrollt, um Platz für den Seiteninhalt zu schaffen.
• Abgelenkte Nutzer neigen dazu, durch verschiedene Seiten und Benachrichtigungen zu hetzen.
• Es gibt keine Mouseover- oder Vorschaufunktion, die den Nutzer daran hindert, das Ziel des Links vor dem Anklicken zu sehen oder zu bewerten.
• Können Sie das Unicode-Zeichen in der nachfolgenden Domäne erkennen?

Es wird emotional – welche Rolle spielen die Emoji-Domänen?

Genauso wie Sonderzeichen verschiedener Sprachen als Punycode codiert werden, kann dies auch für die ständig wachsende Bibliothek von Emojis gelten. Eine Emoji-Domäne ist buchstäblich eine Domäne mit einem Emoji darin, z. B. www. ��.com, Punycode ist dafür unerlässlich.
Hier ist ein aktuelles Beispiel, das von der intelligenten Maschine für maschinelles Lernen von Jamf, MI:RIAM, identifiziert wurde:

In einigen der Beispiele, die wir gesehen haben, zeigen die Websites Gewinnspiele an, bei denen Preise für das Teilen eines Links über WhatsApp vergeben werden. Manchmal leiten sie den Nutzer auf andere Betrugsseiten um, wenn der Nutzer mehrmals auf die Zurück-Schaltfläche drückt. In anderen Fällen werden die Seiten sofort auf andere Websites umgeleitet, die Werbung für den Download von Software-Updates anzeigen.

Kurz nach der Entdeckung und Dokumentation wurden die Inhalte der meisten dieser Websites entfernt. Dies ist ein Beweis dafür, wie schnell Hacker vorgehen, und steht im Einklang mit anderen Formen von Phishing-Angriffen, die wir beobachten.

Unsere Recherchen belegen, dass alle 20 Sekunden eine neue Phishing-Website erstellt wird. Diese Websites sind in der Regel nur vier Stunden lang aktiv, bevor die Hacker sie vom Netz nehmen und eine andere betrügerische Domäne erstellen. Eine clevere Methode, um ihre Spuren zu verwischen und der Entdeckung zu entgehen.

7 Maßnahmen zur Vermeidung eines Punycode-Angriffs

1. Seien Sie vorsichtig, wenn die Website Sie zu einer schnellen Handlung auffordert.Dies ist eine klassische Strategie von Hackern, um ihre potenziellen Opfer zu hetzen, damit sie etwas Verdächtiges seltener bemerken. Oft bieten sie ein „zeitlich begrenztes“ Angebot an und erschweren das Verlassen der Seite mit „Sind Sie sicher, dass Sie die Seite verlassen wollen“-Pop-ups: All dies sind Taktiken, um Sie dazu zu bewegen, länger auf der Seite zu bleiben und Ihre Daten einzugeben.
2. Wenn Ihnen ein Angebot gemacht wird, gehen Sie auf die Original-Website des Unternehmens und prüfen Sie, ob es auch dort verfügbar ist. Wenn nicht, handelt es sich höchstwahrscheinlich um einen Betrug, der versucht, die etablierte Marke zu imitieren und Besucher dazu zu bringen, ihre Daten preiszugeben.
3. Wenn einige der Buchstaben in der Adressleiste seltsam aussehen oder die Website anders gestaltet ist, schreiben Sie sie neu oder besuchen Sie die ursprüngliche URL des Unternehmens in einer neuen Registerkarte, um sie miteinander zu vergleichen. Die seltsam aussehenden Buchstaben in der Adressleiste sind ein wichtiges Indiz dafür, dass Punycode verwendet wird, um Ihnen vorzugaukeln, dass Sie eine bekannte Markenseite besuchen, während Sie in Wirklichkeit auf eine bösartige Seite geleitet werden.
4. Verwenden Sie einen Passwort-Manager: Dadurch verringert sich das Risiko, Passwörter auf fragwürdigen Websites einzufügen.
5. Zwingen Sie Ihren Browser, Punycode-Namen anzuzeigen. Diese Option ist in Firefox verfügbar.
6. Klicken Sie auf das Vorhängeschloss, um das HTTPS-Zertifikat anzuzeigen und zu überprüfen.
7. Verwenden Sie eine mobile Sicherheitslösung. Jamf verwendet beispielsweise das maschinelle Lernen und die künstliche Intelligenz von MI:RIAM, um den gesamten Datenverkehr zu überwachen und Phishing-Links wie diese zu erkennen und zu blockieren.