{"id":4597,"date":"2017-09-19T16:56:53","date_gmt":"2017-09-19T14:56:53","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4597"},"modified":"2025-12-23T12:01:37","modified_gmt":"2025-12-23T11:01:37","slug":"identitaetsdiebstahl-mit-unicode","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/identitaetsdiebstahl-mit-unicode\/","title":{"rendered":"Identit\u00e4tsdiebstahl mit Unicode"},"content":{"rendered":"

Der Sicherheitsforscher Xidong Zheng stellte eine Methode vor<\/a>, die Schwachstellen in Unicode-Domains nutzt, um so legitime Websites zu imitieren. Die Seiten sind vom echten Vorbild kaum zu unterscheiden. Was gut validierte\u00a0SSL-Zertifikate<\/a> damit zu tun haben, erfahren Sie heute.<\/p>\n

Phishing mit Unicode-Domains<\/h3>\n

Gerade im gesch\u00e4ftlichen Umfeld ist Vertrauen unabdingbar. Dementsprechend flie\u00dfen viel Zeit und Geld in Systeme, die idealerweise sicherstellen, dass das Zielsystem tats\u00e4chlich das ist, was man erreichen m\u00f6chte. Angreifer wissen dies nat\u00fcrlich und schalten sich genau hier ein: Sie nutzen dieses Vertrauen aus und umgehen diese Sicherheitssysteme.<\/p>\n

Phishing ist ein sehr beliebtes und funktionales Mittel zur Infektion. Mit der Unicode-Methode bietet sich eine wunderbare M\u00f6glichkeit! Bestimmte Buchstaben sehen in verschiedenen Zeichens\u00e4tzen \u00e4hnlich aus wie Unicode \u2013 denken Sie nur ans kyrillische oder lateinische Alphabet. Normale User unterscheiden diese Zeichen auf den ersten Blick nicht von den richtigen und schon k\u00f6nnen Angreifer diese Situation f\u00fcr sich nutzen.<\/p>\n

Die vorget\u00e4uschte Website schaut der legitimen Website verd\u00e4chtig \u00e4hnlich. Jedoch ist die registrierte Domain eine komplett andere \u2013 dank dem Einsatz kyrillischer Zeichen beispielsweise. Deshalb funktioniert auch ein domainvalidiertes SSL-Zertifikat: Es wurde keine bestehende Domain kopiert, sondern eine neue registriert.<\/p>\n

Was hat die Validierung des SSL\/TLS-Zertifikats damit zu tun?<\/strong><\/h3>\n

SSL\/TLS-Zertifikate bekommen Sie heute geradezu hinterhergeworfen. Fast jeder Hoster packt gratis eines oben drauf. Jedoch handelt es sich bei diesen SSL\/TLS-Zertifikaten meist um sogenannte DV-Zertifikate: domainvalidierte SSL-Zertifikate. Bei der Domainvalidierung wird die Domain beispielsweise per Best\u00e4tigungsemail gepr\u00fcft. Hierbei wird entweder an die im Bestellprozess angegebene E-Mail-Adresse oder im WHOIS zu der Domain eingetragene E-Mail-Adresse eine Best\u00e4tigungsemail versendet. So wird gepr\u00fcft, ob der Auftraggeber auch der Domaininhaber ist.<\/p>\n

Bei der Methode per Unicode hat das zur Folge, dass s\u00e4mtliche F\u00e4lschungen legitimer Domains einfach validiert werden k\u00f6nnen. Denn dank Unicode handelt es sich tats\u00e4chlich um eine neue Domain, nicht um die, die als ungewolltes Vorbild fungiert. Phishing ist damit ein Leichtes.<\/p>\n

Welche Optionen haben Websitebetreiber?<\/h3>\n

Es existieren zwei weitere Validierungsstufen, die f\u00fcr mehr Sicherheit sorgen. Die Domainvalidierung mag f\u00fcr kleine Blogs und f\u00fcrs Intranet in Ordnung sein. Alles dar\u00fcber hinaus braucht mindestens die Organisationsvalidierung, also OV-Zertifikate.<\/p>\n

Bei der Organisationsvalidierung wird zun\u00e4chst wieder ein Domaincheck wie eben beschrieben vorgenommen. Dar\u00fcber hinaus aber wird auch eine Identit\u00e4tspr\u00fcfung f\u00e4llig. Unternehmen m\u00fcssen mit entsprechenden Dokumenten ihre Identit\u00e4t und die Domaininhaberschaft nachweisen. F\u00fcr gew\u00f6hnlich wird f\u00fcr die Pr\u00fcfung ein Handelsregisterauszug verlangt und telefonisch Kontakt aufgenommen.<\/p>\n

Webshops und Unternehmensseiten sollten mindestens diesen Weg gehen. So unterscheidet sich eine gef\u00e4lschte Domain durch die Sicherheitsmechanismen des SSL\/TLS-Zertifikats von der gef\u00e4lschten.<\/p>\n

Der sicherste Weg: EV-Zertifikate<\/h3>\n

Die intensivste Pr\u00fcfung durchlaufen Sie mit Extended Validation-Zertifikaten, kurz: EV-Zertifikaten. Websitebesucher sehen bereits in der Adressleiste den Unterschied: Diese f\u00e4rbt sich gr\u00fcn und zeigt sofort die Identit\u00e4t des Domaininhabers.<\/p>\n

F\u00e4lschungen per Unicode lassen sich f\u00fcr gew\u00f6hnlich DV-Zertifikate ausstellen, da diese ohne gro\u00dfe Pr\u00fcfung zu haben sind. Websitebesucher sehen, dass die gr\u00fcne Adressleiste fehlt \u2013 also kann es sich bei der Domain nicht um das Original handeln.<\/p>\n

Die Validierung ist die aufwendigste: Neben dem Domaincheck und der Identit\u00e4tspr\u00fcfung wie bereits beschrieben wird zus\u00e4tzlich gepr\u00fcft, ob der Antragsteller tats\u00e4chlich bei der Organisation angestellt ist und ob er die Befugnis hat, ein EV-Zertifikat zu erwerben. Bei der Ident\u00e4tspr\u00fcfung m\u00fcssen Sie als Organisation in einem \u00f6ffentlichen Register gef\u00fchrt werden; ihre Telefonnummer muss ebenfalls \u00f6ffentlich einsehbar sein.<\/p>\n

Der Dank f\u00fcr diese aufwendige Validierung ist das „optische Feedback“ durch die gr\u00fcne Adressleiste: sie zeigt an, dass es sich um eine vertrauensvolle Verbindung handelt. Identit\u00e4tsdiebstahl ist so nicht mehr m\u00f6glich, denn neben der gr\u00fcnen Adressleiste sehen Websitebesucher direkt, wer der Zertifikatsinhaber ist und wo dieser sitzt.<\/p>\n

Browser-Updates f\u00fcrs Unicode-Problem<\/h3>\n

Einige Browserhersteller haben ebenfalls auf die Unicode-Methode reagiert, denn Schwachstellen in Chrome, dem Internet Explorer sowie Opera haben das Problem beg\u00fcnstigt. Alle Entwickler bis auf Firefox haben Updates ausgerollt. Firefox sieht die Verantwortung eher bei den Registraren. Sie haben jedoch die M\u00f6glichkeit, \u00fcber die Einstellungen („network.IDN_show_punycode“) die Originaladresse anzeigen zu lassen.<\/p>\n

Nicht am falschen Ende sparen<\/h3>\n

Sicherheit kostet Geld. Unternehmen k\u00f6nnen nicht erwarten, dass die kostenfreie Antiviren-Suite zusammen mit dem kostenlosen DV-Zertifikat alle Systeme umfassend sch\u00fctzt. Es gilt, Verbrauchern Sicherheit greifbar zu machen. Gef\u00e4lschte Domains k\u00f6nnen zwar per SSL gesch\u00fctzt werden, jedoch werden Angreifer kein EV-Zertifikat mit gr\u00fcner Adressleiste erwerben.<\/p>\n

Machen Sie sich das zunutze und investieren Sie an den richtigen Stellen in die Sicherheit. Es w\u00fcrde auf Sie zur\u00fcckfallen, wenn per Phishing und der Unicode-Methode Nutzerdaten abgegriffen werden. Eine einfache Umstellung auf EV-Zertifikate sichert Sie bereits ab und geh\u00f6rt zu den Bausteinen, die ein mehrstufiges Sicherheitskonzept einfach beinhalten sollte. Haben Sie Fragen zum Thema, steht unser Support gerne Rede und Antwort<\/a>!<\/p>\n