Du bist nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: WebStyleBoard. Falls dies dein erster Besuch auf dieser Seite ist, lies bitte die Hilfe durch. Dort wird dir die Bedienung dieser Seite näher erläutert. Darüber hinaus solltest du dich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutze das Registrierungsformular, um dich zu registrieren oder informiere dich ausführlich über den Registrierungsvorgang. Falls du dich bereits zu einem früheren Zeitpunkt registriert hast, kannst du dich hier anmelden.

1

Montag, 7. Februar 2005, 13:13

Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

hab ich hier gerade auf Heise.de gelesen und das scheint ja wohl echt übel zu sein :wallbash:

Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick
Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.

Angreifer und Phisher können diese Schwachstelle ausnutzen, um täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gefälscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig ist, aber gar nicht für paypal.com ausgestellt wurde.

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Codierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.p&# 1072;ypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.
[...]
Da Microsofts Internet Explorer momentan standardmäßig keine derartigen internationalisierten Domain-Namen unterstützt, funktioniert der Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar.
[hr]

Tja ... gut das ich wichtige Seite (zB Onlinebanking) niemals per Mausklick aufrufe (auch nicht aus den Fav's), sondern die URL immer per Hand in die Adressleiste eintippe ...
Signatur von »TheNobody Style«

2

Dienstag, 8. Februar 2005, 10:28

Cool. ;) Da hätte man vorher drauf kommen müssen.

Wisst Ihr, welche rechtlichen Probleme es geben kann, wenn man etwa auf diese Weise Domains wie microsoft.com oder apple.com registriert?

Gruß
Mirko

PS: Andreas, bitte nächstes Mal auch den Link zur Quelle angeben.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »memowe« (8. Februar 2005, 10:28)


3

Dienstag, 8. Februar 2005, 12:27

Die Umlautdomains werden wohl noch für einige Verwirrung sorgen. Erst vor kurzem habe ich im Radio eine interessante Werbung gehört und wollte die zugehörige Internetpräsenz aufrufen. "Weitere Informationen finden Sie im Internet unter irgendwasmüller.de." hieß es dort - stellt sich nur die Frage, ob damit jetzt die Domain irgendwasmüller.de oder aber die Domain irgendwasmueller.de gemeint ist.

:confused:

4

Donnerstag, 10. Februar 2005, 16:38

RE: Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

Zitat von »TheNobody Style«

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Codierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.p&# 1072;ypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.
Das erklärt, warum es bei meinem Firefox (unter KDE mit Unicode Zeichensatz) das eine a so komisch aussieht.
[img_upload]506_paypal.png[/img_upload]

Ich halte nicht viel von den IDN, die sprechen für mich gegen das, wofür das Internet gedacht ist: grenzenloser, (fast) Barriereloser austausch von Informationen. Wenn in einer Domain aber nun z.B. (wie oben) kyrillische Buchstaben drin sind, brauche ich dcoch dafür eine Kyrillische-Tastatur (oder jedenfalls muss ich wissen, wo welche Taste liegt) und ich muss noch zusätzlich an meinem Rechner das Tastaturlayout umstellen. Ähnlich wenn man z.B. aus England auf eine Webseite mit einer Domain mit Deutschen Umlauten zugreifen will. Das finde ich nicht sehr grenzen- und barrierenlos.

MfG Arne :).

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Nash.Bridges« (10. Februar 2005, 16:40)


5

Freitag, 11. Februar 2005, 17:21

Die ursprüngliche Idee war imho, dass es sowohl "richtigsprachige" Domainnamen geben soll, als auch eine herkömmliche lateinische Alternative (also zwei für eine quasi)... es wäre für viele Schriften (Chinesisch, Arabisch, Kyrillisch...) sinnvoll, diese als Domainnamen zuzulassen... immerhin ist die andere Schrift auch schon eine Barierre, oder nicht? ;)
Signatur von »Snoop« The use of COBOL cripples the mind; its teaching should, therefore, be
regarded as a criminal offence.
-- Edsger W. Dijkstra, SIGPLAN Notices, Volume 17, Number 5 (11.05.1930 - 07.08.2002)

6

Freitag, 11. Februar 2005, 18:50

RE: Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

ich kann mich zwar irren, aber ich glaube nicht, dass sich die Umlautdomains sooooo wahnsinnig etablieren werden ... vielleicht als Zweitdomain (mueller.de holt sich auch die müller.de) oder für kriminelle Faxen. Ich war zumindest bisher noch auf keiner Umlaut-Domain-Seite ...
Signatur von »TheNobody Style«

7

Dienstag, 15. Februar 2005, 11:24

RE: Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

und dann sind wir wieder alle alle sicher ...

[q=heise.de]Mozilla und Firefox schalten Unterstützung für internationalisierte Domains aus
Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. Über ein XPI werden Anwender die IDN-Unterstützung wieder einschalten können, sollen dabei aber deutlich auf die möglichen Gefahren hingewiesen werden. Diese vorläufige Lösung gab Gervase Markham für die Mozilla-Foundation bekannt. [/q]
http://www.heise.de/newsticker/meldung/56376
Signatur von »TheNobody Style«