WebStyleBoard

hab ich hier gerade auf Heise.de gelesen und das scheint ja wohl echt übel zu sein :wallbash:

Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick
Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.

Angreifer und Phisher können diese Schwachstelle ausnutzen, um täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gefälscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig ist, aber gar nicht für paypal.com ausgestellt wurde.

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Codierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.p&# 1072;ypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.
[...]
Da Microsofts Internet Explorer momentan standardmäßig keine derartigen internationalisierten Domain-Namen unterstützt, funktioniert der Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar.
[hr]

Tja ... gut das ich wichtige Seite (zB Onlinebanking) niemals per Mausklick aufrufe (auch nicht aus den Fav's), sondern die URL immer per Hand in die Adressleiste eintippe ...

ich kann mich zwar irren, aber ich glaube nicht, dass sich die Umlautdomains sooooo wahnsinnig etablieren werden ... vielleicht als Zweitdomain (mueller.de holt sich auch die müller.de) oder für kriminelle Faxen. Ich war zumindest bisher noch auf keiner Umlaut-Domain-Seite ...

und dann sind wir wieder alle alle sicher ...

[q=heise.de]Mozilla und Firefox schalten Unterstützung für internationalisierte Domains aus
Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. Über ein XPI werden Anwender die IDN-Unterstützung wieder einschalten können, sollen dabei aber deutlich auf die möglichen Gefahren hingewiesen werden. Diese vorläufige Lösung gab Gervase Markham für die Mozilla-Foundation bekannt. [/q]
http://www.heise.de/newsticker/meldung/56376