Phishing-Angriff mit Umlaut-Domains

Seit etwa einem Jahr ist möglich Internet-Domains auch mit Umlauten (wie ä, ö, ü) zu registrieren. Diese "International Domain Names" (IDN) können für Phishing-Versuche genutzt werden.

Betroffen sind nahezu alle Browser mit Ausnahme des Internet Explorers, der noch keine IDN-Unterstützung enthält. Es gibt allerdings ein kostenloses Zusatzmodul (http://www.idnnow.com/index.jsp) von VeriSign für den Internet Explorer, das die Nutzung von Umlaut-Domains ermöglicht. Ist dieses Modul installiert, ist auch der Internet Explorer gefährdet.

Der von der Shmoo-Gruppe entdeckte Implementierungsfehler ermöglicht die Fälschung von Links und auch der in der URL-Zeile der Browser angezeigten Adresse. Dadurch können Benutzer auf eine gefälschte Website geleitet werden, von der aus eingegebene Daten an die Täter weiter gereicht werden.

Die Täuschung wird dadurch nahezu perfekt, dass etwa bestimmte kyrillische Zeichen (etwa a, c, o) von den entsprechenden lateinischen Zeichen optisch nicht unterschieden werden können, aber einen anderen Unicode haben. Selbst für SSL-Verbindungen (https://) funktioniert der Trick, solange man sich nicht die Details des Server-Zertifikats sehr genau ansieht.

Browser-Hersteller wie Opera gehen davon aus, dass sie keinen Fehler gemacht und die IDN-Unterstützung korrekt umgesetzt haben. Die Mozilla Foundation gibt an, an einer langfristigen Lösung zu arbeiten, Apple (Safari-Browser) hat noch nicht Stellung genommen. Konkrete Fälle sind zwar noch nicht bekannt, es muss jedoch in absehbarer Zeit damit gerechnet werden.

Demo der Shmoo-Group: http://www.shmoo.com/idn/