Was versteht man unter Homoglyph Attacks und Typo-Squatting?

18. August, 2020

Umsichtige Internet-Nutzer kennen die weit verbreiteten Empfehlungen: Achten Sie auf verschlüsselte Datenübertragung, klicken Sie nicht auf ungefragt zugesendete Links und surfen Sie nur bekannte, vertrauenswürdige Adressen an. Leider kennen auch potenzielle Angreifer diese Tipps und versuchen, die Schwachstellen der Empfehlungen zu finden. Und die finden sich mitunter in kleinsten Details, zum Beispiel, wenn sich User auf eine gültige Verschlüsselung verlassen, aber zu wenig genau kontrollieren, auf welcher Seite Sie sich gerade befinden.

Ein A für ein O: ähnlich oder gleich aussehende Schriftzeichen

Homoglyphen sind verschiedene Zeichen, die aufgrund ihres Aussehens sehr leicht miteinander verwechselt werden können. Das sind im einfachsten Fall z.B. der Buchstabe O und die Ziffer 0 oder auch das große I und das kleine l. Sehr beliebt ist auch der Austausch des „g“ mit q, da gerade unser Gehirn bei längeren Namen versucht, diesen visuellen Fehler „automatisch“ auszubessern. Beliebt sind auch mehrbuchstabigen Homoglyphen, z.B. „rn“ statt „m“. In komplexeren Szenarien können Homoglyphen auch mit Nutzung unterschiedlicher Alphabete und Sonderzeichen erzeugt werden.

Besonders schwierig sind diese alternativen Kombinationen auf kleinen Bildschirmen sowie bei Stress, Druck und Hektik im Alltag zu erkennen. Die eigentlich falschen Namen werden bei oberflächlicher Betrachtung leicht für das bekannte Original gehalten. [1]

Homoglyphen bei Phishing und anderen Betrügereien

Angreifer kombinieren gerne verschiedene Tricks und Techniken. E-Mails oder auch Chat-Nachrichten von häufig genutzten vertrauenswürdigen Diensten werden gefälscht und Links mit präparierten Domain-Namen und URLs bereitgestellt. Dem User wird eine wichtige Nachricht angekündigt, ein Gutschein versprochen oder auch ein Fehler bei einer Bestellung oder Rechnung vorgegaukelt. Je realistischer das Szenario, desto schneller steigt der Stresslevel – und das genaue Prüfen der Nachricht wird womöglich vergessen.

Ebenfalls sehr beliebt sind derzeit Einladungen zu Video-Meetings, die entsprechend präpariert wurden. Beim Anklicken der täuschend echt aussehenden Adresse wird die falsche Website aufgerufen – natürlich im Hintergrund mit einem „richtigen“ Zertifikat ausgestattet, sodass der Browser eine korrekt verschlüsselte Verbindung anzeigt. Diese kombinierte Betrugsart ist auch als „Typo-Squatting“ bekannt. [2]

Stetige Optimierungen erschweren Erkennung

Bisher gab es bei Homoglyphen-Angriffen noch eine große Hürde: Der User musste auf die gefälschte Fake-Website hereinfallen und dort vertrauliche Informationen preisgeben. Aktuelle Kampagnen sind jedoch deutlich kreativer angelegt. Sind gefälschte Fake-Seiten noch oft durch Unstimmigkeiten und Fehler erkennbar, wird bei hochentwickelten Attacken nur mehr ein kleines JavaScript von der Fake-Seite abgeholt. Der dort enthaltene „Skimmer-Code“ nutzt eine aktuelle Sicherheitslücke aus, um eine andere Routine nachzuladen. Sofort danach wird der Webbrowser auf die richtige Seite umgeleitet, um keinen Verdacht zu erregen. Der eingeschleuste Schadcode versucht nun im Hintergrund, Nutzer- und Payment-Daten zu sammeln und nach extern zu übermitteln.

Da keine Fake-Seiten mehr gebaut und gewartet werden müssen, können diese Angriffe nun automatisiert für viele verschiedenen Dienste und Seiten erzeugt werden. So konnte es bei verschiedenen Gruppen und Angriffen beobachtet werden. [3] IKARUS warnte bereits in Zusammenhang mit Emotet vor Homoglyphen-Angriffen.

Welche Vorsichtsmaßnahmen gibt es?

Wie immer sollten Nutzer besonders vorsichtig sein, wenn E-Mails oder andere Nachrichten mit allzu guten Botschaften, Geschenken oder möglicherweise seltsamen Informationen zu Rechnungen oder Bestellungen kommen. Hinterfragen Sie mögliche Unstimmigkeiten skeptisch: Woher hat der Kontakt z.B. meine berufliche Adresse, wenn ich meine Online-Bestellungen immer mit der privaten Adresse durchführe?

Neben der Sensibilisierung der MitarbeiterInnen hilft URL-Filtering mit entsprechender Sicherheitssoftware. Am sichersten ist es, gar nicht auf Links zu klicken, sondern die gewünschten URLs händisch in den Webbrowser einzugeben.

Linktipp:

Emotet: eines der gefährlichsten Schadprogramme weltweit

[1] http://homoglyphen.de/

[2] https://de.wikipedia.org/wiki/Typosquatting

[3] https://securityaffairs.co/wordpress/106916/hacking/homoglyph-attacks-phishing-campaign.html

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download