Neue Phishing-Taktik imitiert internationale Domainnamen

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Microsoft-Office-Anwendungen scheinen anfällig für Phishing-Taktiken zu sein, die internationale Domainnamen (IDNs) ausnutzen. Zu den betroffenen Anwendungen gehören Outlook, Word, Excel, Onenote und Powerpoint.

„Homograph-Phishing-Angriffe (auch bekannt als Homoglyphen) basieren auf der Idee, ähnliche Zeichen zu verwenden, um sich als eine andere Website auszugeben“, schreiben die Forscher von Bitdefender. „Während die meisten dieser Angriffe von Endbenutzern mit entsprechender Schulung leicht zu erkennen sind (z. B. g00gle.com), können die auf internationalen Domainnamen (IDN) basierenden Homograph-Angriffe mit den Domains, die sie vortäuschen, identisch sein.“

Diese Technik zeigt, dass Nutzer sich nicht allein auf die Überprüfung der URL verlassen können, um sicherzustellen, dass sie sich nicht auf einer Phishing-Seite befinden.

„Selbst wenn ein Browser beschließt, nach dem Öffnen des Links den echten Namen anzuzeigen, verwendet der E-Mail-Client den Anzeigenamen im Vorschaufenster“, so die Forscher. Selbst Nutzer, die darauf trainiert sind, einen Link in einem E-Mail-Client zu überprüfen, bevor sie ihn anklicken, sind anfällig für diese Angriffstechnik, da er im Browser noch nicht in einen echten Domainnamen übersetzt wurde. Der echte Domainname wird erst sichtbar, wenn die Seite geöffnet wird. Die Website, die sich öffnet, besitzt zudem sogar ein gültiges Sicherheitszertifikat und wird vollständig von einem Bedrohungsakteur kontrolliert.

Die Forscher stellen fest, dass diese Technik wahrscheinlich nicht so weit verbreitet sein wird wie andere Phishing-Taktiken, aber es lohnt sich dennoch, sie im Auge zu behalten.

„Die gute Nachricht ist, dass Homograph-Angriffe höchstwahrscheinlich nicht zum Mainstream werden – sie sind nicht einfach einzurichten oder zu warten“, erläutern die Experten von Bitdefender. „Sie sind jedoch ein gefährliches und effektives Werkzeug, das für gezielte Kampagnen von APTs (oder Advanced-Persistent-Threats) und hochrangigen Gegnern wie Big Game Hunting von Ransomware-as-a-Service-Gruppen eingesetzt wird – ob sie nun auf bestimmte hochwertige Unternehmen oder hochwertige Themen (zum Beispiel beliebte Kryptowährungsbörsen) abzielen.“

Techradar berichtete ebenfalls über diesen Angriff und fügt hinzu, dass homografische Angriffe die Internationalisierung des Webs ausnutzen. „In den Anfängen des Internets verwendeten alle Domainnamen das lateinische Alphabet, das 26 Zeichen umfasst. Seitdem hat sich das Internet weiterentwickelt und umfasst nun mehr Zeichen, z. B. auch das kyrillische Alphabet (das in Osteuropa und Russland verwendet wird). Das eröffnete Bedrohungsakteuren viele neue Möglichkeiten, denn durch die Kombination verschiedener Zeichen können sie Phishing-Seiten erstellen, deren URL der legitimen Seite zum Verwechseln ähnlichsieht.

Die effektivste Maßnahme zur Verhinderung solcher Angriffe stellt ein umfassendes Security-Awareness-Training für die Mitarbeiter dar. Anbieter wie KnowBe4 versuchen hierbei grundsätzlich, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zudem sollte man herausfinden, auf welche Art von Angriffen Mitarbeiter hereinfallen und auf welche nicht. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.

#KnowBe4