Blog

Phishing mit Punycode

Posted by Maciej Golik on 27 April, 2017  /  techblog

Phishing-Mails sind in der heutigen Zeit nichts Besonderes mehr. Sie können einfach entlarvt werden, da die meisten eine allgemeine Grußformel oder offensichtlich falsche Links besitzen.

Doch durch das sogenannte Punycode-Verfahren sind seit 2003 Hackern neue Möglichkeiten geboten. Denn das Punycode-Verfahren erlaubt es Domains mit Umlauten bzw. Unicode-Zeichenketten zu nutzen. Somit können beispielsweise Domains wie münchen.de registriert werden und der Browser kann das „ü“ übersetzen.

Aber nicht nur die deutschen Umlaute werden vom Punycode übersetzt, sondern auch beispielsweise Zeichen aus dem kyrillischen Alphabet.
So können bspw. Zeichen die wie das deutsche „a“ oder das deutsche „l“ aussehen genutzt werden um so echt aussehende Domains zu erstellen. Ein Beispiel wäre die Domain „https://www.аррӏе.com/“, welche der original „https://www.apple.com/“ täuschend echt aussieht. Der einzige Unterschied besteht in dem „l“ welches aus dem kyrillischen Alphabet kommt.

Wie man sich davor schützen kann? Man sollte die Punycode Übersetzung deaktivieren, da dann aus
„https://www.аррӏе.com/“ (Punycode) à „https://www.xn--80ak6aa92e.com/“ (IDNA) wird.

Quelle: http://www.sempervideo.de/punycode/ & https://de.wikipedia.org/wiki/Punycode

  • CCVOSSEL GmbH