Spammer-Trick mit Google.com zeigt neues Risiko

Noch eine beunruhigende Sicherheitsmeldung zum Feierabend: Ein russischer Spammer hat es geschafft, eine Domain Google.com zu registrieren. Nun versucht er über Google Analytics Besucher auf seine Domain zu locken. Hier ein paar Informationen, warum das höchst beunruhigend ist.


Anzeige

Vermutlich kennt das jeder Internet-Nutzer, dass Leute versuchen, sich Vertipper-Domains zu greifen. Fällt eigentlich nicht auf. Und bei Phishing-Versuchen greifen die Kriminellen auf vielfältige Tricks zurück, um die wahre URL zu verschleiern. Im Browser oder im E-Mail-Client wird aber beim Zeigen auf einen Link die volle Adresse eingeblendet und "Fälschungen" lassen sich leicht erkennen. Aber das ist jetzt passé!

Man kann URLs in der Schreibweise modifizieren, so dass das auf den ersten Blick nicht auffällt. Beispielsweise wäre g00gle.de so eine URL, wo ich das Zeichen 0 durch eine Null ersetzt habe. Auf den ersten Blick kann niemand erkennen, dass das keine Google-URL ist.

Neue Fake-Google-Domain von Spammer registriert

Nun ist es einem Spammer gelungen, eine Domain mit dem Namen ɢoogle.com (bitte nicht aufrufen) zu registrieren. Die URL ɢoogle.com sieht genau wie google.com aus – und wer diese URL im Browser eintippt, landet bei Google (Groß-/Kleinschreibung im Domainnamen ist egal). Ich verlinke mal nicht direkt auf die Spam-Seite, da ich nicht weiß, ob Google mich abstraft (bei futurezone.at ist die betreffende URL über die Überschrift abrufbar). Wer die URL aber kopiert und im Browser abruft, bekommt (momentan)  folgende Webseite zu sehen.

Fake Google-Seite


Anzeige

Es kann aber auch andere Umleitungen geben, wie winfuture.at dokumentiert. Ihr kommt bei Eingabe von Google.com nicht auf die obige Umleitungsseite? Der Trick besteht darin, dass G in der URL als Unicode-Zeichen 0262 zu codieren. Das wird als verkleinerter Großbuchstaben G angezeigt. Die Details sind auf der Webseite nalyticsedge.com dokumentiert.

Das Problem bzw. das jetzt sichtbar gewordene Risiko

Das Problem bei diesem Ansatz: Offenbar hat ein Domain-Registrar richtig gepennt und dem Spammer ermöglicht, eine Domain Google.com zu registrieren, obwohl er nicht Google oder Alphabeth ist. Nun braucht man nur den Gedanken weiter zu spinnen.

Durch die International Domain Name-Konvention können mittlerweile beliebige Unicode-Zeichen in Domain-Namen auftreten. Ein Krimineller könnte eine solche Domain mit Unicode-Zeichen mit dem Namen anderer, bekannter Institutionen (z.B. Banken) registrieren. Dann reicht es, die betreffenden Links per Mail zu verschicken, um die Empfänger auf die Domain zu locken. An Hand der URL ist nicht erkennbar, dass sich der Nutzer auf einer gefälschten Webseite befindet.

Nur noch die Abfrage der https-Zertifikate würde einen Hinweis auf die möglicherweise falsche Identität der Webseite liefern. Aber einmal prüft das kaum ein Benutzer. Zum Zweiten ist es nicht ausgeschlossen, dass Kriminelle an gefälschte Zertifikate gelangen, und diese so aussehen lassen, als ob die betreffende Instanz (Bank, Firma etc.) dahinter steht.


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Spammer-Trick mit Google.com zeigt neues Risiko

  1. sandy sagt:

    Das ist ja schlimm… Vielen Dank für diesen wichtigen und informativen Hinweis!

  2. Nobody sagt:

    Kann mich da nur wiederholen:
    Die bösen Buben sind ganz schön einfallsreich.

    • Nobody sagt:

      Nachtrag:
      In die URL-Leiste gebe ich selten etwas per Tastatur ein. Meist gelange ich zur gewünschten Seite mittels Lesezeichen oder Suchmaschine , die auch über Lesezeichen aufgerufen wird.

  3. Dieter Schmitz sagt:

    Das ganze ist doch nicht neu!!!

    Schon 2002 wurde vor dem Schwachsinn der IETF gewarnt!!!

    Zwei israelische Studenten warnen vor den IETF-Plänen, Unicode für URLs einzuführen — auf einfache Weise könne man "gefälschte" Websiten bauen, die vortäuschen, auf einer anderen, bekannten Domain zu liegen.

    Quelle:

    Domain-"Hijacking" auf kyrillisch

    http://www.heise.de/newsticker/meldung/Domain-Hijacking-auf-kyrillisch-62052.html

    Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick [Update]

    http://www.heise.de/newsticker/meldung/Umlaute-in-Domain-Namen-ermoeglichen-neuen-Phishing-Trick-Update-132814.html

    Was haben Firmen wie Microsoft oder Apple etc. getan?

    Wir haben hier zunehmend Klicki-Bunti-10-Trolle, aber gegen solche Dinge wird von Firmen, die die Marktmacht hätten, einfach nichts unternommen.

    :-(

    • Ralph sagt:

      Und das ist gut so, denn sonst hätte ich meine Domain nicht!
      Beim Firefox gibt es übrigens eine ganz einfache Möglichkeit, als dummer "ich klicke jeden Link an"-Nutzer zumindest mit einem Blick auf den URL doch noch eventuell mitzubekommen, dass man nicht da ist, wo man zu sein glaubt:
      about:config eingeben
      idn_show_punycode suchen
      von false auf true umstellen
      fertig

    • Danke für die Ergänzung – ist an mir wohl vorbei gegangen. Aber es kann ja nicht schaden, Anno 2016 auf das Problem hinzuweisen – speziell auf Facebook haben sich einige Leute für den Artikel interessiert (Mission accomplished, hätte Georg Bush geflüstert).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.