Phishing mit Trick durch Umlaut-Domains

  • Zitat

    Die in mehreren Browsern enthaltene Unterstützung der International Domain Names (IDN) enthält einen Fehler, worüber Phishing-Attacken vorgenommen werden können. Von dem Sicherheitsproblem sind alle Web-Browser betroffen, die Umlaut-Domains verarbeiten. Da dies Microsofts Internet Explorer auch knapp ein Jahr nach der Einführung der Umlaut-Domains nicht beherrscht, ist der Browser in der Standardausführung nicht davon betroffen.

    ...zuerst mal 2 beispiele:

    Paypal
    Paypal per SSL

    das ist echt sehr beeindruckend da man hier nicht mal ansatzweise eine phishing attacke erkennt
    in der adressleiste steht scheinbar nur der wirkliche paypal link...

    eine lösung:
    about:config
    network.enableIDN = false

    quellen:
    http://www.shmoo.com/idn/
    http://www.golem.de/0502/36131.html
    http://www.heise.de/security/news/meldung/56110

  • Und wie schon bei Golem im Forum geschrieben, funktioniert der Workaround nicht überall - hier bei mir auf dem Firmenrechner zumindest nicht.

    Ansonsten bestätigt das für mich persönlich nur mal wieder wie überflüssig IDN ist *grummel* Es wird wieder genügend DAUs geben die auf so etwas hereinfallen.

    Gruß
    Rick

    Windows 7 • Windows XP • MacOS 10.14.2 • It's better to be hated for what you are than to be loved for what you're not.

  • Also bei mir klappt es auf allen Betriebssytemen. Den "network.enableIDN" auf "false" gesetzt und schon läuft die Umleitung ins Leere.

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

  • so etz funktioniert der workaround bei mir auch nicht mehr...

    jedenfalls nachdem ich firefox mal neu gestartet habe - sehr seltsam!

    1. firefox is auf standardeinstellung also network.enableIDN = true
    2. ich klick den phishing link und er funktioniert
    3. ich geb about:config ein und setze network.enableIDN=false und schliesse den about:config tab
    4. ich klick nochmal den phishing link an und er zeigt mir wie gewünscht "seite nicht gefunden"

    5. aber nach einem neustart von firefox komm ich jedesmal auf die phishingseite obwohl die einstellung network.enableIDN=false nach wie vor in den prefs gesetzt ist

    wenn ich dann nach einem neustart folgendes mache:
    6. wieder about:config aufrufen und network.enableIDN=true setzen, dann about:config tab wieder schliessen
    7. nochmal about:config aufrufen und network.enableIDN=false setzen, dann about:config tab ebenfalls wieder schliessen
    8. klick ich dann ohne restart wieder auf den phishing link kommt wieder "seite nicht gefunden".

    nach einem restart gehts wieder bei punkt 5 weiter!

    scheinbar nimmt firefox die einstellung beim start nicht an? bug?

    - cache löschen hilft nicht
    - ausserdem habe ich versucht die einstellung network.enableIDN=false in die user.js zu schreiben, ebenfalls ohne erfolg

    kann jemand diesen "fehler" reproduzieren oder is da nur bei mir so?

  • Unrouted

    muss deinen workaround leider auch bestätigen, da ist auf jeden fall handlungsbedarf

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • mozilla versus microsoft
    das ist jetzt mal ne nagelprobe, wie schnell mozilla mit dem stopfen dieser sicherheitslücke ist...
    gruss :)

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Ich würde es nicht Sicherheitslücke nennen.
    Eher "optische Täuschung" oder so :)
    Läuft ja eigentlich für den Browser alles sauber ab.

    Allerdings fände ich es nicht schlecht, wenn in der Adressleiste gezeigt würde, wenn es sich um eine IDN Domain handelt. Kann man ja evtl sogar ne Erweiterung für schreiben, die das dann prüft.

    Dann könnte die Adressleiste ja in etwa so aussehen:

    Code
    https://www.pаypal.com/                 [www.xn--pypal-4ve.com] \/
  • Zitat von Henne

    Ich würde es nicht Sicherheitslücke nennen.
    Eher "optische Täuschung" oder so :)

    hast ja eigentlich recht, wenn das hier nicht wäre:

    das ist in dem zusammenhang schon ärgerlich.

    gruss [Blockierte Grafik: http://www.mainzelahr.de/smile/party/par_0078.gif]

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Den Wert network.enableIDN habe ich in meiner all.js auf false gesetzt. Default ist true.

    Starte ich nun Fx und teste die beiden Links http://www.p%d0%b0ypal.com/ und https://www.p%d0%b0ypal.com/ von http://www.shmoo.com/idn/ bekomme ich folgendes Ergebnis:

    [Blockierte Grafik: http://img154.exs.cx/img154/7295/bf363854dj.jpg]

    d.h. die Umleitung funktioniert; ich bin getäuscht!

    Schalte ich nun bei lfd. Fx über <about:config> den Wert network.enableIDN zurück auf true und anschließend wieder auf false folgendes Ergebnis:

    [Blockierte Grafik: http://img149.exs.cx/img149/9762/kt2834ek.jpg]

    d.h. die Umleitung funktioniert nicht. Dies bleibt mir nun in der Fx - Sitzung erhalten. Nach Schließen und Neustart: Gleiches Spiel!

  • hi

    also ich hab mir da was überlegt... so als übergangslösung oder auch für immer! :)
    ... einfach eine verdana font datei im ttf format ausm netz geholt + diese verändert
    und zwar alle (ausser ich hab welche übersehen) schriftzeichen die einander ähnlich sehen und für phishing genutzt werden könnten zum test durch ein einfaches schwarzes dreieck ersetzt!
    diese ttf-datei habe ich dann zu den schriftarten hinzugefügt

    ausserdem musste ich noch firefox dazu zwingen in der adressleiste diese schriftart dann zu verwenden:

    [Blockierte Grafik: http://img232.exs.cx/img232/5996/test4it.jpg]

    das hat den vorteil das man IDN trotzdem aktiviert lassen kann und so auf zum beispiel auf umlaut-seiten kommt...
    kann aber so erkennen das es sich hier um phishing handelt (keine ahnung ob das die lösung für jede IDN-phishing attacke ist)

    --------------------
    nachtrag:
    wer die sache selber testen will:

    font: http://upload4free.com/files/8695.zip
    ZIP, password: testfont

    - datei entpacken
    - systemsteuerung-->schriftarten-->datei-->neue schriftart installieren und die datei suchen...
    - dann sollte die schriftart als "Special Verd ...." vorhanden sein
    - firefox beenden
    - in der userChrome.css folgenden eintrag hinzufügen/ändern/erstellen:

    CSS
    #urlbar {
      font-family: Special Verd !important;
    }

    - firefox starten und testen

    ----
    der bug "network.enableIDN einstellung wird nach restart nicht angenommen" ist aber nach wie vor nicht behoben!

  • Zitat von Unrouted

    das hat den vorteil das man IDN trotzdem aktiviert lassen kann und so auf zum beispiel auf umlaut-seiten kommt...
    kann aber so erkennen das es sich hier um phishing handelt (keine ahnung ob das die lösung für jede IDN-phishing attacke ist)

    Guter Ansatz, Ausprobiert und für Gut befunden ;)

    Wer sich das ganze noch etwas einfacher machen will kann zB auch die hier (für private Nutzung als Freeware) verfügbare Schriftart "DOSFont" verwenden (die kann übrigens auch hilfreich sein, wenn man in Editoren Probleme mit älteren Zeichensätzen hat).

    (Edit: natürlich gibt es zu der Schriftart auch einen Link)

    Nicht darstellbare Zeichen - zB kyrillische - werden mit "normalen" (sprich: von der Schriftart abweichenden) Zeichen dargestellt, was eigentlich auffällt. Der Vorteil hierbei (ich habe Deinen Font jetzt allerdings nicht getestet): "gute" Sonderzeichen - sprich: dt. Umlaute, frz. Buchstaben mit Akzents etc. - bleiben erhalten. http://www.m%c3%bcller.de oder http://www.citro%c3%abn.de sind also noch wie vor kein Problem (wobei letztere zZt bei der DeNIC liegt).

    Gruß
    Rick

    Windows 7 • Windows XP • MacOS 10.14.2 • It's better to be hated for what you are than to be loved for what you're not.

  • Mit welcher ZIP-Version ist die Datei auszupacken ?

    Bei mir ist die Datei 5 KB gross und lässt sich nicht öffnen.

    Gruss aus der UMTS/DSL-freien Zone in
    13° 05' 50" East - 52° 12' 30" North
    Martin

  • RickJ,

    ach schade - zum selber Basteln habe ich kaum Zeit.

    <OT ON>
    P.s. Noch ein Hinweis zu TameDos.

    Sowas habe ich schon zu DOS-Zeiten benutzt und auch unter Windows, allerdings gibt es auch in den PIF-Dateien (JA - die gibt es noch) einige Einstellmöglichkeiten zum "zähmen" der wilden Tastaturpoller, die in vielen Fällen TameDos überflüssig machen.

    Gruss aus der UMTS/DSL-freien Zone in
    13° 05' 50" East - 52° 12' 30" North
    Martin

  • Zitat von videomartin

    Mit welcher ZIP-Version ist die Datei auszupacken ?

    Bei mir ist die Datei 5 KB gross und lässt sich nicht öffnen.

    die datei hat aber 50,7kb ( 54.037 bytes ) --> nochmal runterladen!
    ist kein spezielles zip format, sollte also mit jeder zip version entpackbar sein.

  • Unrouted,

    so - jetzt hat der Schriftdownload geklappt. War nix mit rechter Maustaste.

    Schrift ist installiert, in Word sehe ich die schwarzen Dreiecke, aber in Firefox tut sich nichts.

    Dein Schnipsel ist in der Userchrome drin, aber er nimmt die Schrift nicht.

    Hatte die auch gegen die normale Verdana ausgetauscht unter den Schrifteinstellungen.

    Gibt es noch Ideen ?

    Ach ja - bei Heise sind noch drei weitere nette Bugs , die angeblich i Nightly Builds schon behoben sind und es soll eine 1.01 geben. Ob da diese Umlautproblem auch gleich bei ist ?

    Gruss aus der UMTS/DSL-freien Zone in
    13° 05' 50" East - 52° 12' 30" North
    Martin