Startseite Navigation Inhalt Kontakt Sitemap

26.02.2018:

Mit Unicode können vertrauenswürdige Links nachgebaut werden, so, dass deren Ziel nicht mehr verifiziert werden kann. Ein wichtiger Faktor zur Erkennung von Phishing-Mails wurde damit ausgehebelt. Lesen Sie hier, worauf Sie achten müssen.

Wenn Sie überprüfen möchten, wohin die Internet-Adresse in einem Link oder Button wirklich führt, können Sie mit dem Mauspfeil üben den Link oder Button fahren, um das wahre Ziel, d. h. den Domainnamen anzuzeigen. Bis anhin war das eine gute Möglichkeit, Phishing-Mails als solche zu entlarven. Nun ist das nicht mehr in jedem Falle so.

In mehreren Alphabeten ausländischer Sprachen sind auch lateinische Buchstaben enthalten. Mit diesen ist es möglich, einen Domainnamen mit legitimem Aussehen nachzubauen. Abhängig von E-Mail-Client und Browser wird ein solcher Domainname entweder im Ursprungsalphabet (Unicode) angezeigt oder mit Hilfe des sogenannten Punycode in eine standardisierte Notation (ASCII) umgewandelt. Erfolgt die Darstellung im ursprünglichen Format, lässt sich ein nachgebauter Domainname visuell nicht von der Originaldomain unterscheiden.

Es handelt sich hierbei nicht um eine Sicherheitslücke, sondern um eine Technik, Domainnamen auch mit ausländischen Alphabeten bezeichnen zu können. Somit ist ein wichtiges Element zur Erkennung eines Phishing-Mails nicht mehr anwendbar!

Diese Täuschung funktioniert aktuell beispielsweise in Microsoft Outlook (Version: 2016). Nach dem Anklicken wird der Domainname in der Adresszeile im Firefox (Version: 58) unverändert angezeigt, die Browser Chrome (Version: 64) und Internet Explorer (Version: 11) hingegen wandeln den Domainnamen in ASCII-Zeichen um und zeigen diesen an. Da sich das Opfer dann aber bereits auf der Webseite befindet, ist das Risiko einer Kompromittierung hoch.

Ein Beispiel

Probieren Sie es aus – die beiden nachfolgenden Links sind nicht identisch, obwohl sie absolut identisch aussehen:

https://www.ebas.ch    (führt auf die Original EBAS-Webseite)

https://www.еbаѕ.ch    (führt ins Leere, sprich zu einer nicht erreichbaren Webseite)

Bei der unteren URL sind das «e», das «a» und das «s» nicht normale lateinische Buchstaben, sondern Zeichen aus dem kyrillischen Unicode. Äusserlich ist das nicht zu unterscheiden.

Kriminelle haben so die Möglichkeit, unter dem nachgebauten Domainnamen eine Domain zu registrieren und dort die geklonte Webseite anzuzeigen.

So schützen Sie sich

Werden Sie in einem E-Mail zum Anklicken eines Links oder Buttons aufgefordert, ist grundsätzlich Misstrauen angesagt! Die sicherste Variante ist immer die manuelle Eingabe der Adresse in der Adresszeile des Browsers.

Zudem sei an dieser Stelle wieder einmal auf die Wichtigkeit des Fingerabdrucks eines Zertifikats hingewiesen. Sind die aus dem Zertifikat herausgelesene Zeichenfolge und die vom Finanzinstitut erhaltene Referenzfolge identisch, ist das Zertifikat echt und Sie befinden sich auf der gewünschten, vertrauenswürdigen Webseite. Falls nicht, befinden Sie sich auf einer gefälschten Webseite. Informationen zur Zertifikatsprüfung finden Sie hier.

Weitere generelle Informationen zum Thema Phishing finden Sie hier.

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBerner KantonalbankBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Bank AGGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BärLiechtensteinische Landesbank AGLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankUBSUrner KantonalbankValiant Bank AGVontobel AGVP BankWalliser KantonalbankZuger KantonalbankZürcher Kantonalbank