Cyberkriminelle verändern ihre Angriffsmuster fortlaufend, um aus gestohlenen Anwenderdaten Profit zu schlagen. Dabei geraten Mobilgeräte aufgrund ihrer Verbreitung verstärkt ins Visier der Angreifer. Eine zunehmende Angriffsmasche auf mobile Anwender ist SMiShing – die Kurzform von SMS-Phishing.
Die SMiShing-Angriffe werden über Textnachrichten ausgeführt. Dabei erhalten Anwender via SMS- oder Chat-Anwendungen Links zugeschickt, die auf Phishing-Webseiten verweisen. Inhaltlich werden dabei besonders attraktive Angebote verwendet, die unachtsame Anwender dazu verleiten, ihre persönlichen Daten preiszugeben. Am Beispiel einer von den ThreatLabs-Analysten von Zscaler kürzlich aufgedeckten Kampagne wird die Vorgehensweise von SMiShing erläutert. Zum Einsatz kommt dabei „Punycode“, wodurch Phishing-URLs den Original-URLs täuschend ähnlich sehen.
Die Angreifer setzen dabei auf eine Technik, die sich homographer Angriff nennt. Durch die Veränderung eines oder mehrerer Buchstaben in der URL gleicht die gefälschte Adresse dem Original auf den ersten Blick. Die Cyberkriminellen verwenden für die Täuschung einen Buchstaben aus einem anderen Zeichensatz, der dem ursprünglichen Buchstaben ähnelt.
Abb 1: Beispiel einer gefälschten WhatsApp-Nachricht mit homographer Technik
Das folgende Bespiel einer WhatsApp-Nachricht verdeutlicht diese Angriffsmethode: Die Textnachricht mit dem Angebot von Jet Airways verspricht kostenlose Flugtickets. Der verwendete Link gleicht der offiziellen jetairways.com Webseite bei flüchtiger Betrachtung. Für diesen homographen Angriff wurden sich ähnlich sehende Buchstaben verwendet. Erst bei aufmerksamer Betrachtung wird deutlich, dass der Buchstabe „i“ in der Domäne „airways“ durch einen Buchstaben aus dem Schriftsatz Unicode ersetzt wurde (U+0131), der ohne i-Punkt auskommt.
Je nach verwendetem Gerät und Browser besteht für den Anwender Gefahr auf eine Phishing-Seite gelenkt zu werden, wenn er dem Link folgt. Klickt ein Anwender mit seinem iPhone auf diesen gefälschten Link, öffnet der Internet-Browser eine Phishing-Webseite. Diese leitet an eine nächste erst kürzlich ins Leben gerufene Domain weiter, über die die Malware zur Datenspionage ausgeliefert wird.
Allerdings behandeln verschiedene Browser die URLs unterschiedlich. Google Chrome auf einem Android-Gerät zeigt dem Anwender die URL im Punycode-Format, so das eine Fehlermeldung anzeigt wird und sich die Phishing-Webseite nicht öffnet.
Abb 2: So unterschiedliche stellen verschiedene Browser IDN-Domänen dar
Die Sicherheit hängt vom Browser ab
Der Web-Browser entscheidet, ob eine URL im IDN- (Internationalized Domain Name) oder Punycode-Format angezeigt wird. Das Anzeigeformat hängt dabei von bestimmten Voraussetzungen ab, wie z.B. dem Vorkommen besonderer Zeichen, die beispielsweise Separatoren wie „.“ oder „/“ unterlaufen können oder der Überprüfung ob alle Buchstaben der gleichen Sprache zugeordnet werden können. Ebenso wird geprüft, ob Zeichen aus erlaubten Kombinationen gewählt wurden, oder ob die Domäne auf der Whitelist von TDLs steht.
Abb 3: Der Google Chrome Browser auf einem Android Handy zeigt die URL im Punycode anstelle vom IDN-Format.
Fazit
SMiShing ist auf dem Vormarsch im Jahr 2018 und durch die homographe Technik kann dieses Angriffsmuster sehr effektiv gegen unachtsame Anwender ausgespielt werden. Auch wenn Web-Browser Schutzmechanismen gegen homographe Angriffe eingeführt haben, wird es durch die legitime Verwendung von Punycode-Buchstaben sehr schwer sichere Abwehrmechanismen zu entwickeln. Angreifer spielen mit Homographen, die als IDNs angezeigt werden und dahinter schädliche Aktivitäten verbergen. Da die Anzeige des IDN-Formats vom Browser-Design abhängt, hat der Anwender kaum Einfluss darauf, wie die URL dargestellt wird um solche Angriffsmuster zu erkennen. Sicherheit vor homographen URL-Phishing Webseiten verschaffen besondere Password-Manager. Diese überprüfen die URLs, bevor die Kennwörter an die Webseite weitergeleitet werden