Internationale Domainnamen als Türöffner für Phishing-Angriffe

Microsoft-Office-Anwendungen sollen nach jüngsten Erkenntnissen besonders anfällig für Phishing-Taktiken sein, die internationale Domainnamen (IDNs) ausnutzen. Zu den betroffenen Anwendungen gehören offenbar Outlook, Word, Excel, OneNote und PowerPoint.

Wieder einmal versuchen Bedrohungsakteure vermehrt, ihre Phishing-Angriffe mit einer bewährten Taktik noch effektiver zu machen: Sogenannte Homograph-Phishing-Angriffe (auch bekannt als Homoglyphen) basieren auf der Idee, Buchstaben und Zeichen in einem Domainnamen durch ähnliche Zeichen zu ersetzen. Auf einen ersten flüchtigen Blick fällt das kaum auf und so gelingt es damit oft, sich erfolgreich als eine andere (gerne populäre) Website auszugeben. „Während die meisten dieser Angriffe von Endbenutzern mit entsprechender Schulung leicht zu erkennen sind (zum Beispiel g00gle.com statt google.com), können die auf internationalen Domainnamen (IDN) basierenden Homograph-Angriffe mit den Domains, die sie vortäuschen, identisch sein.

Diese Technik zeigt, dass Nutzer sich nicht allein auf die Überprüfung der URL verlassen können, um sicherzustellen, dass sie sich nicht auf einer Phishing-Seite befinden. „Selbst wenn ein Browser beschließt, nach dem Öffnen des Links den echten Namen anzuzeigen, verwendet der E-Mail-Client den Anzeigenamen im Vorschaufenster“, so Forscher von Bitdefender. Selbst Nutzer, die darauf trainiert sind, einen Link in einem E-Mail-Client zu überprüfen, bevor sie ihn anklicken, sind anfällig für diese Angriffstechnik, da er im Browser noch nicht in einen echten Domainnamen übersetzt wurde. Der echte Domainname wird erst sichtbar, wenn die Seite geöffnet wird. Die Website, die sich öffnet, besitzt zudem sogar ein gültiges Sicherheitszertifikat, wird aber vollständig von einem Bedrohungsakteur kontrolliert.

Die Forscher stellen fest, dass diese Technik wahrscheinlich nicht so weit verbreitet sein wird wie andere Phishing-Taktiken, aber es lohnt sich dennoch, sie im Auge zu behalten: „Die gute Nachricht ist, dass Homograph-Angriffe höchstwahrscheinlich nicht zum Mainstream werden – sie sind nicht einfach einzurichten oder zu warten“, erläutern die Bitdefender-Experten von. „Sie sind jedoch ein gefährliches und effektives Werkzeug, das für gezielte Kampagnen von APTs (oder Advanced Persistent Threats) und hochrangigen Gegnern wie Big Game Hunting von Ransomware-as-a-Service-Gruppen eingesetzt wird – ob sie nun auf bestimmte hochwertige Unternehmen oder hochwertige Themen (zum Beispiel beliebte Kryptowährungsbörsen) abzielen.“

TechRadar berichtete ebenfalls über diesen Angriff und fügt hinzu, dass homografische Angriffe die Internationalisierung des Webs ausnutzen. „In den Anfängen des Internets verwendeten alle Domainnamen das lateinische Alphabet, das 26 Zeichen umfasst. Seitdem hat sich das Internet weiterentwickelt und umfasst nun mehr Zeichen, zum Beispiel auch das kyrillische Alphabet (das in Osteuropa und Russland verwendet wird). Das eröffnete Bedrohungsakteuren viele neue Möglichkeiten, denn durch die Kombination verschiedener Zeichen können sie Phishing-Seiten erstellen, deren URL der legitimen Seite zum Verwechseln ähnlichsieht.

Gezielte Security-Awareness-Schulungen helfen

Die effektivste Maßnahme zur Verhinderung solcher Angriffe stellt ein umfassendes Security-Awareness-Training für die Mitarbeiter dar. „Anbieter wie KnowBe4 versuchen hierbei grundsätzlich, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind“, so Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zudem gilt es herausfinden, auf welche Art von Angriffen Mitarbeiter hereinfallen und auf welche nicht. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.“