Identitätsdiebstahl mit Unicode
Der Sicherheitsforscher Xidong Zheng stellte eine Methode vor, die Schwachstellen in Unicode-Domains nutzt, um so legitime Websites zu imitieren. Die Seiten sind vom echten Vorbild kaum zu unterscheiden. Was gut validierte SSL-Zertifikate damit zu tun haben, erfahren Sie heute.
Phishing mit Unicode-Domains
Gerade im geschäftlichen Umfeld ist Vertrauen unabdingbar. Dementsprechend fließen viel Zeit und Geld in Systeme, die idealerweise sicherstellen, dass das Zielsystem tatsächlich das ist, was man erreichen möchte. Angreifer wissen dies natürlich und schalten sich genau hier ein: Sie nutzen dieses Vertrauen aus und umgehen diese Sicherheitssysteme.
Phishing ist ein sehr beliebtes und funktionales Mittel zur Infektion. Mit der Unicode-Methode bietet sich eine wunderbare Möglichkeit! Bestimmte Buchstaben sehen in verschiedenen Zeichensätzen ähnlich aus wie Unicode – denken Sie nur ans kyrillische oder lateinische Alphabet. Normale User unterscheiden diese Zeichen auf den ersten Blick nicht von den richtigen und schon können Angreifer diese Situation für sich nutzen.
Die vorgetäuschte Website schaut der legitimen Website verdächtig ähnlich. Jedoch ist die registrierte Domain eine komplett andere – dank dem Einsatz kyrillischer Zeichen beispielsweise. Deshalb funktioniert auch ein domainvalidiertes SSL-Zertifikat: Es wurde keine bestehende Domain kopiert, sondern eine neue registriert.
Was hat die Validierung des SSL/TLS-Zertifikats damit zu tun?
SSL/TLS-Zertifikate bekommen Sie heute geradezu hinterhergeworfen. Fast jeder Hoster packt gratis eines oben drauf. Jedoch handelt es sich bei diesen SSL/TLS-Zertifikaten meist um sogenannte DV-Zertifikate: domainvalidierte SSL-Zertifikate. Bei der Domainvalidierung wird die Domain beispielsweise per Bestätigungsemail geprüft. Hierbei wird entweder an die im Bestellprozess angegebene E-Mail-Adresse oder im WHOIS zu der Domain eingetragene E-Mail-Adresse eine Bestätigungsemail versendet. So wird geprüft, ob der Auftraggeber auch der Domaininhaber ist.
Bei der Methode per Unicode hat das zur Folge, dass sämtliche Fälschungen legitimer Domains einfach validiert werden können. Denn dank Unicode handelt es sich tatsächlich um eine neue Domain, nicht um die, die als ungewolltes Vorbild fungiert. Phishing ist damit ein Leichtes.
Welche Optionen haben Websitebetreiber?
Es existieren zwei weitere Validierungsstufen, die für mehr Sicherheit sorgen. Die Domainvalidierung mag für kleine Blogs und fürs Intranet in Ordnung sein. Alles darüber hinaus braucht mindestens die Organisationsvalidierung, also OV-Zertifikate.
Bei der Organisationsvalidierung wird zunächst wieder ein Domaincheck wie eben beschrieben vorgenommen. Darüber hinaus aber wird auch eine Identitätsprüfung fällig. Unternehmen müssen mit entsprechenden Dokumenten ihre Identität und die Domaininhaberschaft nachweisen. Für gewöhnlich wird für die Prüfung ein Handelsregisterauszug verlangt und telefonisch Kontakt aufgenommen.
Webshops und Unternehmensseiten sollten mindestens diesen Weg gehen. So unterscheidet sich eine gefälschte Domain durch die Sicherheitsmechanismen des SSL/TLS-Zertifikats von der gefälschten.
Der sicherste Weg: EV-Zertifikate
Die intensivste Prüfung durchlaufen Sie mit Extended Validation-Zertifikaten, kurz: EV-Zertifikaten. Websitebesucher sehen bereits in der Adressleiste den Unterschied: Diese färbt sich grün und zeigt sofort die Identität des Domaininhabers.
Fälschungen per Unicode lassen sich für gewöhnlich DV-Zertifikate ausstellen, da diese ohne große Prüfung zu haben sind. Websitebesucher sehen, dass die grüne Adressleiste fehlt – also kann es sich bei der Domain nicht um das Original handeln.
Die Validierung ist die aufwendigste: Neben dem Domaincheck und der Identitätsprüfung wie bereits beschrieben wird zusätzlich geprüft, ob der Antragsteller tatsächlich bei der Organisation angestellt ist und ob er die Befugnis hat, ein EV-Zertifikat zu erwerben. Bei der Identätsprüfung müssen Sie als Organisation in einem öffentlichen Register geführt werden; ihre Telefonnummer muss ebenfalls öffentlich einsehbar sein.
Der Dank für diese aufwendige Validierung ist das „optische Feedback“ durch die grüne Adressleiste: sie zeigt an, dass es sich um eine vertrauensvolle Verbindung handelt. Identitätsdiebstahl ist so nicht mehr möglich, denn neben der grünen Adressleiste sehen Websitebesucher direkt, wer der Zertifikatsinhaber ist und wo dieser sitzt.
Browser-Updates fürs Unicode-Problem
Einige Browserhersteller haben ebenfalls auf die Unicode-Methode reagiert, denn Schwachstellen in Chrome, dem Internet Explorer sowie Opera haben das Problem begünstigt. Alle Entwickler bis auf Firefox haben Updates ausgerollt. Firefox sieht die Verantwortung eher bei den Registraren. Sie haben jedoch die Möglichkeit, über die Einstellungen („network.IDN_show_punycode“) die Originaladresse anzeigen zu lassen.
Nicht am falschen Ende sparen
Sicherheit kostet Geld. Unternehmen können nicht erwarten, dass die kostenfreie Antiviren-Suite zusammen mit dem kostenlosen DV-Zertifikat alle Systeme umfassend schützt. Es gilt, Verbrauchern Sicherheit greifbar zu machen. Gefälschte Domains können zwar per SSL geschützt werden, jedoch werden Angreifer kein EV-Zertifikat mit grüner Adressleiste erwerben.
Machen Sie sich das zunutze und investieren Sie an den richtigen Stellen in die Sicherheit. Es würde auf Sie zurückfallen, wenn per Phishing und der Unicode-Methode Nutzerdaten abgegriffen werden. Eine einfache Umstellung auf EV-Zertifikate sichert Sie bereits ab und gehört zu den Bausteinen, die ein mehrstufiges Sicherheitskonzept einfach beinhalten sollte. Haben Sie Fragen zum Thema, steht unser Support gerne Rede und Antwort!
Schreibe einen Kommentar