in der Chrome-Version 58 möchte das Google Entwicklerteam einen Schutz gegen Unicode-Phishing einführen. Ein Proof-of-Concept, das die Schwächen moderner Browser aufzeigt, ist dabei der Hintergrund. Bei Mozilla wird aktuell ebenfalls diskutiert, wie ein solcher Schutz aussehen könnte. Statt ACSII-Zeichen werden, laut der Wordfence-Macher, bei Domains Zeichen aus einem anderen Zeichensatz verwendet.

Zudem registrieren moderne Phishing-Kampagnen noch gültige Zertifikate. Dies erfolgt etwa über Let's Encrypt, so dass Nutzer von einer legitimen Webseite ausgehen. Dabei ist der einzige sichtbare Unterschied zur Original-Seite, dass die gefälschte Seite nicht über ein Zertifikat mit erweiterter Identifikationsprüfung (EV-Zertifikat) verfügt und somit keine grün eingefärbte Adresszeile bekommt.

Bisher waren die Entwickler der Ansicht, dass die Pflicht bei den Webseitenbetreibern läge selbst entsprechende Unicode-Domains zu kaufen, damit diese nicht für betrügerische Zwecke genutzt werden können.

Um sich vor entsprechenden Angriffen zu schützen, gibt es die Möglichkeit im Firefox unter about:config die Einstellung für "network.IDN_show_punycode" auf "true" setzen.

(ms, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE