Bitdefender warnt vor IDN-Betrug
Fiese Link-Falle in Office und anderen Anwendungen
Security-Experten verzeichnen zunehmende Zahl von Cyberangriffen über maskierte Domain-Namen. Dabei nutzen Hacker fremde Zeichensätze, um Nutzer aus Anwendungen wie Microsoft Office unbemerkt auf bösartige Domains umzuleiten. Unternehmen sollten entsprechende Vorsichtsmaßnahmen ergreifen.
Die Bitdefender Labs haben in den letzten Monaten eine wachsende Zahl von Angriffen registriert, bei denen sich die Hacker die Verwendung verschiedener Zeichensätze in internationalen Domainnamen (IDN) zunutze machen. Dafür verwenden sie sogenannte Homographen, also Gleichlaute, wie beispielsweise das kyrillische „a“ und „e“, die zwar andere Unicode-Werte als ihre lateinischen Brüder haben, aber in der schriftlichen Darstellung der Domain in vielen Anwendungen genauso aussehen. Die Angreifer registrieren sich entsprechende Domain-Namen wie apple.com mit solchen Homographen und versenden dann betrügerische Mails mit entsprechenden Links darauf. Für normale Nutzer ist dabei nicht zu erkennen, dass es sich nicht um die echte Domain der Hersteller handelt. Das erhöht erheblich die Gefahr, dass sie in die ausgelegte Falle tappen und sich auf den Seiten Malware einfangen oder Daten wie Passwörter preisgeben.
Problematisch ist hierbei vor allem, dass auch manche Software den Unterschied zwischen den Zeichensätzen nicht darstellt oder anderweitig darauf reagiert. Laut Bitdefender sind davon etwa alle Anwendungen aus Microsofts Office-Suite inklusive der Cloud-Versionen betroffen. Somit werden den Nutzern von Programmen wie Word und Outlook in derartigen E-Mails und Dokumenten Verweise auf vermeintlich legitime Webseiten angezeigt, hinter denen sich jedoch Hacker-Domains verbergen. Erst im Browser können die Opfer dann erkennen, dass sie umgeleitet wurden – und selbst das nicht in allen Fällen. Denn auch hier gibt es Vertreter, bei denen die IDN-Darstellung vereinfacht wird. Dazu gehört Bitdefender zufolge etwa der in Deutschland beliebte Mozilla Firefox.
Der Security-Anbieter hat Microsoft nach eigenen Angaben bereits im Oktober des vergangenen Jahres über die Problematik informiert. Obwohl das Microsoft Security Response Center die Ergebnisse als valide bestätigt habe, sei jedoch bisher nicht klar, ob und wie das Unternehmen die gefährliche Schwachstelle schließen wird. Dabei drängt die Zeit, konnte Bitdefender doch bereits mehrere solcher Homographen-Phishing-Angriffe beobachten, die sich bislang vor allem gegen Finanzinstitute und Kryptowährungsbörsen richteten. Angesichts der notwendigen Vorarbeit gehen die Experten davon aus, dass der Angriffspfad zumeist gezielt zur Initiierung von Advanced Persistent Threats (APT) genutzt wird. Aber auch deutlich breiter angelegte Angriffe, um beispielsweise Login-Daten zu erbeuten oder Malware zu verbreiten, sind möglich.
Solange die Softwarehersteller das Problem nicht gelöst haben, empfiehlt Bitdefender den Anwendern, insbesondere Unterhemen und Behörden, folgende Maßnahmen zu ergreifen, um sich gegen das Homographen-Phishing mit maskierten Domain-Namen zu schützen:
- Sensibilisierung: Unternehmen sollten insbesondere solche Mitarbeiter, die aufgrund ihrer Position ein mögliches Opfer für Spearphishing-Atacken sind, auf die Gefahr hinweisen. Ein Check der URL und des Lock Icons genügt in diesem Fall nämlich nicht.
- Endpunkt-Schutz: Eine Endpoint Detection and Response erkennt und blockiert bösartige Webseiten.
- Reputationscheck: IP- und URL-Reputationsdienste sollten auf allen Geräten laufen. Eine Faustregel: Wenn die URL mit xn-- beginnt, ist die Website verdächtig.
- Eine Mehrfaktorenidentifikation auf unternehmenseigener Seiten lässt eine solche Attacke ins Leere laufen und Hacker können dann nicht mehr Anmeldeinformationen abgreifen.
- Browser-Updates: Webbrowser und andere Produktivitätstools sollten immer auf dem neuesten Stand sein.
- Die Supply Chain im Blick haben: Homographen können über die Lieferkette in die Unternehmens-IT geraten. Dokumente von Zulieferern, Kunden oder Partnern sind also zu prüfen.
- Breitflächig Domänen registrieren: Unternehmen sollten alle Domains in ihren verschiedenen Unicode-Schreibweisen, die mit Ihrem Unternehmen in Verbindung gebracht werden könnten, im Blick haben. Dann können Hacker diese Seiten nicht für sich in Beschlag nehmen. Da IDNs auf einen einzigen Zeichensatz im Unicode beschränkt sind, sind die Kombinationsmöglichkeiten und damit die Zahl der zu registrierenden Webseiten begrenzt. Die Bitdefender Labs haben festgestellt, dass nur wenige Unternehmen proaktiv alle potenziellen Spoofing-Domains registrieren.
Lesen Sie mehr zum Thema
