Eine Gruppe von Cyberkriminellen namens »Disneyland Team« überrollt das Internet aktuell mit einer Welle von homographischen Attacken. Wie die Sicherheitsexperten von Krebs on Security berichten, erweist sich der Punycode einmal mehr als Schwachstelle.
Die Einführung internationalisierter Domain-Namen (IDNs) und die Möglichkeit, Domains auch in nicht-lateinischen Zeichen registrieren zu können, zählt zu den wesentlichen Evolutionsstufen des Domain Name Systems, da so der Kreis der Nutzer wesentlich erweitert wird. Technisch möglich wird dies durch ein als Punycode bekannt gewordenes Kodierungsverfahren, das Sonderzeichen in einer Domain in das computerlesbare ASCII-Format transformiert, wobei die »übersetzte« Domain typischerweise mit der Zeichenfolge »xn--« beginnt; aus müll.de wird so zum Beispiel die Domain xn--mll-hoa.de. Allerdings birgt das Verfahren auch erhebliche Risiken, die als »homographische Attacke« bekannt wurden. Dabei werden Zeichen wie die Zahl »0« und der Buchstabe »O«, die bei einer Verwendung in Domains wie postbank.de auf den ersten Blick identisch erscheinen, technisch jedoch zu unterschiedlichen Internetangeboten verweisen können, missbraucht. Multipliziert wird dieses Risiko durch eine Ausweitung von IDNs auf die Zeichensätze zahlreicher verschiedener Sprachen wie das griechische Alphabet, aber auch asiatische Sprachen wie Chinesisch, Japanisch und Koreanisch. Bereits im März 2005 zeigte sich ICANN besorgt über diese Schwachstelle, ohne jedoch ein Mittel parat zu haben, um dem Unwesen ein Ende zu setzen.
Aktuell macht sich eine Gruppe namens »Disneyland Team«, deren Schwerpunkt auf Finance-Phishing liegt, diese Schwachstelle zu nutzen. Diese Phishing-Mails sind so gestaltet, dass sie zum Corporate Design großer Banken und Finanzinstitute passen. Die Angreifer suggerieren den Opfern so, eine vermeintlich notwendige Verifizierung durchführen zu müssen, bei der sie ihnen die Zugangsdaten für ihr Online-Banking entlocken. Aus der Domain ameriprise.com des US-Finanzdienstleisters Ameriprise wird so ạmeriprisẹ[.]com bzw. xn--meripris-mx0doj[.]com; nur wer ganz genau hinsieht, bemerkt die beiden Punkte unterhalb der Buchstaben »a« und »e«. Besonders tückisch ist die Website gestaltet, die beim Aufruf der Domains erscheint; dauert ein Log-In des Opfers und damit die Übermittlung seiner Daten zu lange, wird er durch eine Einblendung samt individueller »case ID number« dazu verleitet, die Website nicht zu verlassen. Wie Krebs on Security berichtet, nutzte die Gruppe in diesem Jahr mehrere dutzend der Punycode-basierten Domain-Namen, darunter Domains der Emirates NBD Bank und des Finanzberaters Charles Schwab. Das Disneyland-Team soll russischsprachig sein, möglicherweise auch aus Russland stammen; offiziell bestätigt ist diese Information aber nicht.
Um sich und die eigenen Kunden zu schützen, bleibt vielen Finanzdienstleistern und Banken vor allem, potentiell gefährliche Punycode-Domains selbst zu registrieren. Ausserdem kann Domain-Monitoring wertvolle Hilfe leisten. Domain-Monitoring überwacht und berichtet kontinuierlich rund um die Uhr über bestehende und neue Domain-Registrierungen mit dem Begriff einer vorgegebenen Marke oder praxisrelevanten Abweichungen davon, sogenannte Vertipper-Domains. So lassen sich entweder alle Top Level Domains überwachen, oder man setzt Schwerpunkte auf besonders beliebte oder besonders missbrauchsgefährdete Top Level Domains. Erkennt das Domain-Monitoring eine Übereinstimmung mit einem überwachten Begriff, wird die betreffende Domain-Registrierung erfasst und in einem Report festgehalten. Der Markeninhaber erhält auf diesem Weg einen schnellen, aktuellen Überblick über bereits registrierte Domains, die »seine Marke« enthalten.
Weitere Informationen zum Domain-Monitoring bietet der starnberger Domain-Registrar united-domains GmbH, deren Projekt der Domain-Newsletter und domain-recht.de sind-