Üble Phishing-Tricks

rajenske · 7. Februar 2005

Das Thema gab es bisher vereinzelt und verstreut schon mal.

Nachdem ich mich gerade erschrocken habe, mach ich hier mal auf, vielleicht kann man hier ja auf Dauer etwas sammeln:

Umlaute in der Domain ermöglichen Phishing-Tricks

Geht mal mit einem Browser (außer Internet Explorer) hierhin:

http://www.shmoo.com/idn/

und klickt dort die vermeintliche Seite von Paypal an ...

Hintergrund dazu von Heise .

Grüße, Öle

PS: Falls als überflüssig gesehen, halt hier schließen.

Bullson · 7. Februar 2005

Wow das ist ja Hammer.
Aber welches Zeichen wird mit а dargestellt?
Ups das a ist eigentlich folgender Code:

PHP

а

Edit 3
Hätte erst lesen sollen:

Zitat

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für http://www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.

rajenske · 15. Februar 2005

Ich hätte es eigentlich zuerst in diesen Thread schreiben sollen und dann in einen anderen verlinken - habs umgekehrt angefangen .. daher etwas doppelt

Die IDN-Unterstützung kann man zwar auf "false" stellen, stellt sich aber nach Neustart des Browsers zurück.

In den kommenden Versionen von Firefox wird die IDN-Unterstützung dann deaktiviert sein. Quelle

Edit:

Auch interessant: Es wird ein Meldesystem für Phishing-Versuche eingerichtet - dazu hier bei Heise: Klick

Grüße, Öle

symbian · 15. Februar 2005

Das witzige bei der Sache, hier ist doch ein Internet Explorer Surfer mal ausnahmsweise weniger gefährdet, sonst ist es ja immer andersrum

rajenske · 15. Februar 2005

Zitat

Original geschrieben von symbian
Das witzige bei der Sache, hier ist doch ein Internet Explorer Surfer mal ausnahmsweise weniger gefährdet, sonst ist es ja immer andersrum

Du weißt aber, dass das eigentlich kein "Verdienst" des IE ist?

SirShagalot · 15. Februar 2005

Hab mir auch mal die Diskussionen zu dieser Sache durchgelesen - vornehmlich im Opera Forum, da diese erstmal keine Option zur Abschaltung von IDN bereitstellen wollen. Die Argumentation ist eigentlich gut nachvollziehbar (gerade wenn man sich außerhalb des Englisch- oder Italienischsprachigem Raum befindet) und bevor hier die Leute Panik schieben, möchte ich hier an die "allgemeingültigen Tipps" erinnern, die vor Phising schützen:

"wichtige" Links nur ansteuern, indem man die eigenen Lesezeichen benutzt oder die Adresse per Hand eintippt
Links nur klicken, wenn er auf vertrauenswürdigen Webseiten steht
keine mir bekannte Seite fordert per e-mail zur Aktualisierung der eigenen Daten auf - im Zweifelsfall die Startadresse per Hand eintippen und zu der Änderungsseite "vorarbeiten"
kurze Google Suche nach bekannten Phising Versuchen bei dem betroffenem Service - auch mal auf deren Seite umsehen; soviel Zeit muß sein
bei e-mails die Textdarstellung wählen, um "verdeckte HTML" Links zu vermeiden

rajenske · 18. Februar 2005

Phishing- und Spoofing-Schwachstelle in Outlook Express und Internet Explorer

18.2.05

Neue Phishing- und Spoofing-Schwachstelle in Outlook Express und Internet Explorer mit WinXP-SP2 in HTML-Mails:

Zitat

Die Schwachstelle ermöglicht es einem Angreifer, einem Opfer einen falschen Link in einer HTML-E-Mail vorzutäuschen; die Statusbar von OE oder IE zeigt dabei an, dass der Link angeblich auf eine vertrauenswürdige Adresse führt. Folgt ein Anwender dem Link, könnte er dann aber auf eine betrügerische Webseite gelangen, die seinen Rechner mit Spyware, Trojanern und anderen ungewünschten Dingen traktiert. Die Schwachstelle kann von einem Angreifer auch zu Phishing-Zwecken verwendet werden.

Das Spoofing funktioniert ganz ohne Javascript, über das man die Statusbar standardmäßig manipulieren kann. Es nützt also hier nichts, in den Sicherheitseinstellungen des Internet-Explorers das Ausführen von Scripten zu unterbinden; auch dass Outlook Express HTML-Mails normalerweise in der Restricted Zone mit ausgeschalteten JavaScript öffnet, bietet in diesem Fall keinen Schutz.

Quelle Heise

Grüße, Öle

o2neuling · 18. Februar 2005

Zitat

Original geschrieben von rajenske
In den kommenden Versionen von Firefox wird die IDN-Unterstützung dann deaktiviert sein. Quelle

Es gibt inzwischen einen neuen Ansatz, der ist im Weblog von Gervase Markham beschrieben:

http://weblogs.mozillazine.org/gerv/archives/007586.html

Kurz gesagt, IDN funktioniert so, dass die Unicode-URLs für die Übertragung temporär in ASCII umgewandelt und auf der anderen Seite wieder zu Unicode decodiert werden. Der neue Ansatz besteht darin, dass man auf die Rückumwandlung in Unicode verzichtet und statt des gefälschten http://www.paypal.com, wobei das wie ein lateinisches "a" aussehende Zeichen ein kyrillisches "a" ist, einfach http://www.xn--pypal-4ve.com anzeigt.

Firefox 1.0.1 soll dann laut Weblog von Asa Dotzler Ende nächste Woche kommen:

http://weblogs.mozillazine.org/asa/archives/007581.html

o2neuling

rajenske · 21. Februar 2005

Und es gibt (solang nötig) auch mehrere Erweiterungen, die helfen könn, z.B. bei den betreffenden Webseiten per Popup Alarm schlagen und dabei den Punycode angeben:

Beispiel: Firefox IDN Info

Grüße, Öle