Phishing-Trick mit Sonderzeichen in Domains (kaum zu durchschauen!)

#1 Hi Leute,

http://www.pаypal.com steht in der Adresszeile aber in Wirklichkeit ist es eine Hackerpage...
(^ Fake Link hier funktioniert bei IE Usern nur mit Umlaute Plug In + bei Firefox Usern sowieso)

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.p& #1072;ypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a.

Demo siehe auch hier: http://www.shmoo.com/idn/

Zitat

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Quelle und mehr Informationen:
http://www.heise.de/security/news/meldung/56110

1.) Skandal! da der Bug ja eigentlich schon ewig bekannt sein dürfte!
2.) bin gespannt was sich die Browser Hersteller da als Lösung ausdenken (der IE ist ja zum Glück nur mit Umlaut Plug In anfällig!)

Mein Lösungsvorschlag oder eventuell bastelt ja jemand von Euch ein kleines Tool / Add On - ein einfaches Warn-Hinweis-Fenster, wenn man eine URL mit "Sonderzeichen" aufruft!

eventuell auch nur mit Hinweis, wenn Buchstabe ähnlich...
Beispiel: ì í î i <- sieht hier beinahe immer gleich aus... in der URL würde Euch das nicht auffallen - aber guckt mal genau hin

der Login Domains jetzt erstmal per Hand eintippen wird!!!

Greetz Lp

#2 Danke für die erschreckenden News und Danke für das umsetzen von Wie das Newsforum interessanter wird

ein wirklich einfacher, aber effektiver Bug!
Freu mich schon auf alle Neuen Phising Mails, die hier gerne kommentiert gepostet werden dürfen!

*unsere Coder mit anhau*
__________
Gruß Lukas

#3 Ist die Bezeichnung "Bug" hier überhaupt korrekt?
Die Umlaut-Unterstützung bei Domainnamen ist schließlich beabsichtigt.

Dieser Phishing-Trick ist in meinen Augen nicht als Bug, sondern als Missbrauch zu bezeichnen. Schließlich handelt es sich hier um keinen Fehler in der Browsersoftware (das Feature ist ja gewollt, auch wenn die Sicherheit natürlich fraglich ist!).
Es sieht doch so aus, das die Domain 'korrekt' ist und auch der Browser sie korrekt verarbeitet, nur der User wird letztendlich getäuscht, da er die Umlaut-Domain für etwas anderes hält als sie tatsächlich ist.

Den Lösungsvorschlag von Laserpointa mit der Warnung vor Umlaut-Domains beim Versuch diese aufzurufen finde ich schonmal nicht schlecht, lässt sich sicher auch einfach umsetzen. Oder eine Option die Umlaut-Unterstützung zu deaktivieren vielleicht, so ähnlich wie man beim IE ja auch ActiveX und Java deaktivieren kann?
Des weiteren einfach Links von Hand eingeben (mach ich bisher sowieso auch meistens) oder mit eigenen Bookmarks arbeiten, da kann dann nix gefaket sein, außer man hat bereits die Favoriten-URL falsch gesetzt.
Vor allem bei Seiten bei denen es um was geht (Online-Banking etc.) wie oben schon geraten nie die Links anklicken, sondern lieber manuell arbeiten.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#4 Sehr interessanter Beitrag, wie ich finde.
Bis jetzt dachte ich das Umlaut-Domains nur bei denic (.de) möglich wären. Da ich bis jetzt noch 0 (null) mit Umlaut Domains zu tuen hatte wäre ja interessant was in so einer zone file dann stehen muss - weiß da jemand was zu?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5

Zitat

...der User wird letztendlich getäuscht, da er die Umlaut-Domain für etwas anderes hält als sie tatsächlich ist.

So sehe ich das auch.
Leider aber werden möglicherweise etliche Dummies auf dem Leim gehen.
Dabei reicht ja ein einmaliges Eintippen der Adresse bis man sie in den Lesezeichen hat.

Die Mogelei fliegt übrigens auf wenn ich die Adresse in Code-Genie (mein Notepad-Ersatz) hereinkopiere/überprüfe:
http://www.p?ypal.com/
https://www.p?ypal.com/
Mit einen reinen Texteditor funktioniert das natürlich nicht.

Das erste a in der Adresse ist ein kyrillsches a. Anstatt "paypal" daher "pаypal" wobei Dezimal 1072 (Unicode) = das kyrillische a.
Der Link führt zur Adresse "www.xn--pypal-4ve.com" (in Punycode geschrieben)

Proxomitron-User erhalten eine entsprechende Warnung für diese Adresse im Falle der verschlüsselten Verbindung (via SSL) ;)

Gruß
Ajax

Nachtrag:
Für Proxomitron-Freunde gibt es auch einen neuen Filter der dieses Problem löst. Kurz getestet und es funktioniert.

Zitat

Name = "Spoofed Address Exploit [Kye-U]"
Active = TRUE
URL = "(^$TYPE(css))"
Bounds = "($NEST(<(([a-z]+{1,*})|*=\s),</([a-z]+{1,*})>)|$NEST(<(([a-z]+{1,*})|*=\s),>))"
Limit = 1024
Match = "\0://(\1.([a-z]+{2,4})|*.*/)((?%00|(((%|\&#)0[01])+{1,2})))[^/]++[@|%40]\2"
"|\0://(\1.([a-z]+{2,4})|*.*/)%2F((%20|\s)+{1,*})[^/]++.\2"
"|\0://(\1.([a-z]+{2,4})|*.*/)%(2F|01)[@|%40]\2"
"|\0://(\w.|)\w\&#*;\w.([a-z]+{2,4})*"
"|\0://(*|)xn--*.([a-z]+{2,4})*"
Replace = "<strong>[URL Spoofing Exploit Removed]</strong>"
"$ALERT(URL Spoofing Vulnerability Detected and Removed on:\n\n\u)"

Das Script soll im Seitenfilter (PATTERN) eingefügt werden.

#6 @Ajax

Ich denke das hängt damit zusammen ob deine Applikation utf8 unterstützt und nutzt, was bei windows wohl standard ist (und sein wird). Dann wird es auch keinem Auffallen - bei mir fällts auch auf aber ich nutze iso-8859-15 daher kann ich keine kyrillischen Zeichen et cetra darstellen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Du hast Recht Xeper.
Daß solche Zeichen in Domain-Namen einmal zu Sicherheitsprobleme führen wird, ist schon seit 2002 bekannt.
Nun es ist aber keine Sicherheitslücke des Browsers. Komischerweise ist der Internet Explorer deswegen nicht betroffen da er kein IDN (InternationalDomainName) unterstützt. Moderne Browser tun es aber.
Immerhin kann man das deaktivieren.
Firefox/Mozilla :
In der Adressleiste "about:config" eingeben und dann "network.enableIDN" auf false setzen.

Gruß
Ajax

#8 @ajax
Dein Firefox Hinweis funktioniert leider nicht wirklich...
Der Workaround für Mozilla und Firefox scheint nur zu funktionieren, solange man den Browser nach dem Abschalten der Option nicht schließt. Andernfalls ist zwar die Funktion weiterhin auf false gesetzt, der Aufruf der genannten Domain funktioniert aber trotzdem.
__________
Gruß Lukas

#9 @Lukas

Nun da der Trick mit "about:config" nur solange funktioniert bis Firefox nicht geschlossen wird (bei einem Neustart des Browsers ist die Wirkung vorbei), hier ein neuer Trick der funktioniert:

Zitat

The workaround for firefox seems to be an edit to your compreg.dat.

For windows
c:\Documents and Settings\$USER\Application Data\Mozilla\Firefox\Profiles\default.random\compreg.dat

For UNIX
~/.mozilla/firefox/default.random/compreg.dat

Remove the lines with references to IDN .

Wurde getestet und es funktioniert. ("compreg.dat" editieren, mit der Suche nach Referenzen zu "IDN" suchen und diese einfach löschen)
(Es soll übrigens auch schon einen Nightly Build geben der das Problem auch löst)

Nachtrag zum Fix (und bitte um Entschuldigung wegen meiner Faulheit dies alles zu übersetzen )
Frage:
"Isn't compreg.dat re-created anytime you install a new plugin/extension installed ? and wouldn't that overwrite the old file with the commented out line (not sure if FF respects the readonly attribute either, a la cookies.txt)... I haven't tested this as I haven't had the time and as i'm not really all that concerned with the IDN issue (based on my browsing habits)..."
Antwort:
"well i got a chance to test... and unless u make the file readonly the edit will be OVERwritten on new plugin/extension installation. also keeping readonly may prevent your newly installed extension/plugin from registering properly... SO... make sure reedit the file after extension/plugin installation...."


Bevor eine Massenpanik ausbricht und alle die IDN-Unterstützung in ihren Browser deaktivieren, sollte man bedenken daß diese auch nützlich sein kann.
Schließlich wird es auch deswegen in moderne Browser unterstützt.
Deshalb wäre es vielleicht viel vernünftiger wichtige Adressen einmalig mit der Hand einzutippen und sie dann zu den Lesezeichen hinzufügen.

Gruß
Ajax

PS
Danke für das Zusammenfügen der Beiträge
Ich gelobe Besserung

#10

Zitat

Xeper postete
Bis jetzt dachte ich das Umlaut-Domains nur bei denic (.de) möglich wären.

Nein, Umlautdomains gibt es bei anderen Registrars wesentlich länger. Die DENIC hat vor knapp einem Jahr damit angefangen.

Ein paar Researcher aus Israel haben schon vor Jahren auf dieses Problem hingewiesen. Ihr Beispiel zielte auf M$.

#11 Funktioniert das Editieren der compreg.dat auch bei Mozilla? Konnte die Datei in dem angegebenen Ordner nicht auffinden.

Dafür funktioniert der Proxomitron-Filter 1A

Gruß
Heron

edit:
Hat sich erledigt! Habe die Datei an anderer Stelle doch gefunden (C:\Programme\Mozilla_1.7.5\components; für alle die das gleiche Problem mit dem Auffinden haben)
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#12

Zitat

Die im Browser
implementierte Möglichkeit Domains mit Umlauten und Sonderzeichen (IDN)
direkt ansurfen zu können, wird wieder entfernt. Das System der
Internationalized Domain Names ermöglicht Phishing-Attacken. Ein Fehler
des Systems, nicht des Browsers.

Umlautdomainen sollten im praktischen Einsatz
nicht verwendet werden, zumal die meisten Anwender diese eh nicht direkt
verwenden können. Der Internet Explorer weiß bislang nichts damit
anzufangen, das klappt nur über ein Plugin. Zukünftige Feuerfüchse und
Mozillas sehen das bald ähnlich.

hihi Firefox wird das Feature wieder abstellen in der nächsten Version...
Gute Nacht IDN Domains

Gruß
Tille
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.

#13 Eine unglaublich kurzsichtige und dumme Entscheidung. Wer bei IDN nur an Umlaute denkt sollte mal über den Teich des lateinischen Alphabets hinaus schauen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#14 Das mit den erlaubten Sonderzeichen in Domains ist eine absolute Katastrophe! Anscheinend gibts ein Tool mit dem alle Browser geschützt werden. idnwebshield oder so, werd mal googlen und testen ob das was nützt, da ich mittlerweile jede woche mehrere phishing mails bekomme und zwischen den richtigen mails garnicht mehr unterscheiden kann!

#15 Hab das Tool mal getestet. Für mich sehr brauchbar, da ich mir um dieses Problem jetzt keine Gedanken mehr machen muss und kostest auch nix, also zu empfehlen.