Umsichtige Internet-Nutzer kennen die weit verbreiteten Empfehlungen: Achten Sie auf verschlüsselte Datenübertragung, klicken Sie nicht auf ungefragt zugesendete Links und surfen Sie nur bekannte, vertrauenswürdige Adressen an. Leider kennen auch potenzielle Angreifer diese Tipps und versuchen, die Schwachstellen der Empfehlungen zu finden. Und die finden sich mitunter in kleinsten Details, zum Beispiel, wenn sich User auf eine gültige Verschlüsselung verlassen, aber zu wenig genau kontrollieren, auf welcher Seite Sie sich gerade befinden.
Ein A für ein O: ähnlich oder gleich aussehende Schriftzeichen
Homoglyphen sind verschiedene Zeichen, die aufgrund ihres Aussehens sehr leicht miteinander verwechselt werden können. Das sind im einfachsten Fall z.B. der Buchstabe O und die Ziffer 0 oder auch das große I und das kleine l. Sehr beliebt ist auch der Austausch des „g“ mit q, da gerade unser Gehirn bei längeren Namen versucht, diesen visuellen Fehler „automatisch“ auszubessern. Beliebt sind auch mehrbuchstabigen Homoglyphen, z.B. „rn“ statt „m“. In komplexeren Szenarien können Homoglyphen auch mit Nutzung unterschiedlicher Alphabete und Sonderzeichen erzeugt werden.
Besonders schwierig sind diese alternativen Kombinationen auf kleinen Bildschirmen sowie bei Stress, Druck und Hektik im Alltag zu erkennen. Die eigentlich falschen Namen werden bei oberflächlicher Betrachtung leicht für das bekannte Original gehalten. [1]
Homoglyphen bei Phishing und anderen Betrügereien
Angreifer kombinieren gerne verschiedene Tricks und Techniken. E-Mails oder auch Chat-Nachrichten von häufig genutzten vertrauenswürdigen Diensten werden gefälscht und Links mit präparierten Domain-Namen und URLs bereitgestellt. Dem User wird eine wichtige Nachricht angekündigt, ein Gutschein versprochen oder auch ein Fehler bei einer Bestellung oder Rechnung vorgegaukelt. Je realistischer das Szenario, desto schneller steigt der Stresslevel – und das genaue Prüfen der Nachricht wird womöglich vergessen.
Ebenfalls sehr beliebt sind derzeit Einladungen zu Video-Meetings, die entsprechend präpariert wurden. Beim Anklicken der täuschend echt aussehenden Adresse wird die falsche Website aufgerufen – natürlich im Hintergrund mit einem „richtigen“ Zertifikat ausgestattet, sodass der Browser eine korrekt verschlüsselte Verbindung anzeigt. Diese kombinierte Betrugsart ist auch als „Typo-Squatting“ bekannt. [2]
Stetige Optimierungen erschweren Erkennung
Bisher gab es bei Homoglyphen-Angriffen noch eine große Hürde: Der User musste auf die gefälschte Fake-Website hereinfallen und dort vertrauliche Informationen preisgeben. Aktuelle Kampagnen sind jedoch deutlich kreativer angelegt. Sind gefälschte Fake-Seiten noch oft durch Unstimmigkeiten und Fehler erkennbar, wird bei hochentwickelten Attacken nur mehr ein kleines JavaScript von der Fake-Seite abgeholt. Der dort enthaltene „Skimmer-Code“ nutzt eine aktuelle Sicherheitslücke aus, um eine andere Routine nachzuladen. Sofort danach wird der Webbrowser auf die richtige Seite umgeleitet, um keinen Verdacht zu erregen. Der eingeschleuste Schadcode versucht nun im Hintergrund, Nutzer- und Payment-Daten zu sammeln und nach extern zu übermitteln.
Da keine Fake-Seiten mehr gebaut und gewartet werden müssen, können diese Angriffe nun automatisiert für viele verschiedenen Dienste und Seiten erzeugt werden. So konnte es bei verschiedenen Gruppen und Angriffen beobachtet werden. [3] IKARUS warnte bereits in Zusammenhang mit Emotet vor Homoglyphen-Angriffen.
Welche Vorsichtsmaßnahmen gibt es?
Wie immer sollten Nutzer besonders vorsichtig sein, wenn E-Mails oder andere Nachrichten mit allzu guten Botschaften, Geschenken oder möglicherweise seltsamen Informationen zu Rechnungen oder Bestellungen kommen. Hinterfragen Sie mögliche Unstimmigkeiten skeptisch: Woher hat der Kontakt z.B. meine berufliche Adresse, wenn ich meine Online-Bestellungen immer mit der privaten Adresse durchführe?
Neben der Sensibilisierung der MitarbeiterInnen hilft URL-Filtering mit entsprechender Sicherheitssoftware. Am sichersten ist es, gar nicht auf Links zu klicken, sondern die gewünschten URLs händisch in den Webbrowser einzugeben.
Linktipp:
„Emotet“: eines der gefährlichsten Schadprogramme weltweit
[2] https://de.wikipedia.org/wiki/Typosquatting
[3] https://securityaffairs.co/wordpress/106916/hacking/homoglyph-attacks-phishing-campaign.html