Phishing abstellen in FireFox: zumindest erschweren

Hallo

Für Firefox gibt es eine Erweiterung namens "IDN Info"
Zu finden unter :
http://4t2.cc/mozilla/idn

Was macht diese Erweiterung?

Sie zeigt sogenannte Internationalisierte Domainnamen an.

IDN können seit kurzem auch länderspezifische Buchstaben enthalten.
Dazu zählen zum Beispiel die sog. Umlaut-Domains.
Domains wie "www.müller.de" sind nun möglich, man muss nicht mehr den "Umweg" "www.mueller.de" nehmen.

Dies könnte allerdings Probleme aufwerfen...

Es gibt auch länderspezifische (z.B. ausländische) "Standard-Buchstaben", die wie deutsche "Standard-Buchstaben" aussehen.

Als Beispiel sei hier der Abrechnungsservice Paypal genannt.
Die Domain wäre "www.paypal.com".
Ein Krimineller kommt nun auf die Idee und tauscht nun ein länderspezifisches Zeichen aus, dass genauso wie ein lateinisches "a" aussieht.
Das kyrillische "a" unterscheidet sich von der Form her nicht vom lateinischen.
In der Adresszeile des Browser sehen wir (scheinbar) "www.paypal.com".
Wir erkennen nicht, ob einer der Buchstaben ein "falscher" ist.
Anstatt auf der Original-Seite von PayPal zu gelangen, sind wir nun auf einer präparierten.
Wir könnten hier nun Transaktionen tätigen, ohne (erstmal) zu bemerken, dass wir betrogen würden...

Dies ist nur ein Beispiel, aber was würde passieren, wenn dies Jemand in die Realität umsetzt?

Zurück zu Firefox und IDN Info...

Firefox zeigt nun IDN im sog. Puny-Code an.
Aus "http://www.müller.de" wird in der Adresszeile z.B. "http://www.xn--mller-kva.de".
Diese Kodierung ist nötig, damit Internet-(Domain-Namen-)Server mit den IDN arbeiten können.
Die (kodierte) Zeichenkette wie "http://www.xn--mller-kva.de" nennt man auch ACE-String.
Wenn nun das getarnte www.paypal.com aufgerufen würde, sähen wir in der Adresszeile des Browsers nun nicht mehr www.paypal.com, sondern einen Punny-Code ähnlich wie der bei müller.de.

Anstatt "www.paypal.com" mit einem kyrillischem "a" stände in der Adresszeile nun "www.xn--pypal-4ve.com".

Dies könnte ein Indiz dafür sein, dass irgend etwas nicht stimmt.

Gleichzeitig steht nun in der Adressezeile ein rotes Logo mit IDN darin, als ein mögliches Indiz für Phishing.

Wie wird IDN Info installiert?

Dies wäre hier zu aufwändig, ich verweise auf einen Artikel auf meiner Web-Seite

Le Journal du Cerveau

unter der Adresse:

http://tagebuch.aol.de/syntronica/LeJourna...eau/entries/643

Nein, dies ist keine Eigenwerbung.

CU
Syn

Bearbeitet von Syntronica am 26.07.2005 20:11:07

Hab gelesen aber Null Ahnung.

@syn: lieb gemeint aber ich befürchte, das war eine Nummer zu hoch für normale Muttis

Es ist ein wichtiges Thema, wird aber schwer, es auf ein Niveau herunterzubrechen, wo es ein Nicht-IT'ler versteht

Murphy

Zitat (murphy, 26.07.2005)

@syn: lieb gemeint aber ich befürchte, das war eine Nummer zu hoch für normale Muttis Es ist ein wichtiges Thema, wird aber schwer, es auf ein Niveau herunterzubrechen, wo es ein Nicht-IT'ler versteht Murphy

Klar , liegt eben über der Geistigen Ebene. Sags halt auf Deutsch

Ich versuche es mal in normalem Deutsch.

IDN Info ist ein Erweiterung für FireFox.

Seitdem es sog. Internationalisierte Internet-Adressen gibt, wie zum Beispiel www.müller.de (mit Ü anstatt UE wie sonst) gibt es eine mögliche neue Bedrohung, die leider auch schon aufgetaucht ist (dazu weiter unten mehr).

IDN können noch mehr.
Wie früher nur Buchstaben und Zahlen können Internetadressen nun auch länderspezifische Buchstaben haben, wie z.B. kyrillische Buchstaben oder japanische, chinesische Schriftzeichen und mehr.

Das Problem ist, dass manche deutsche Buchstaben aussehen wie "ausländische".
Beispiel das deutsche "A" sieht genauso aus wie das kyrillische "A", obwohl es im Computer (oder im Internet) einen anderen internen Code hat.

Wenn ein Betrüger nun geschickt ist, könnte er sich eine Internet-Adresse ( = Domain) nehmen, die paypal.com heißt.
Er benutzt aber nicht die original-Paypal-Adresse.
(Paypal ist ein Bezahlsystem von ebay)
Das ginge ja nicht.
Er tauscht nun das deutsche "A" gegen ein kyrillisches "A" aus.

Die Domain heißt immer noch paypal.com, aber eben mit der Ausnahme "A".
Wenn nun in der Adressleiste des Browsers paypal.com auftaucht, sieht man nicht, dass dort möglicherweise ein kyrilllisches "A" steht, weil es von der Form identisch ist mit unserem deutschen "A".

Wenn der Betrüger nun die Seite von Paypal kopiert und sie so umfunktioniert, dass er unsere Daten, wie Kontonummern, Passwörter, PINs, TANs u.v.m auslesen kann, könnte er Geld ausgeben und ab anderen Leuten abrechnen lassen.

Stellt Euch mal folgendes Szenario vor:
Ein Kunde ist bei der Commerzbank.
Die Commerzbank ist online zu erreichen unter commerzbank.de
Wenn der Kunde (oder die Kundin) homebanken will, gibt sie ihre kontonummer, ihr passwort ein.
dann überweist der kunde etwas und gibt seine TAN ein.

Nun kommt ein Verbrecher namens Dieb.
Dieb kauft sich die Domain commerzbank.de, allerdings mit einem kyrillischen "A".
Er schickt kunde eine mail, dass er sich einloggen soll.
kunde sieht logischerweiee nicht den unterschied in der form des "A".
Er homebankt einfach.
Dieb liest aber seine Kontonummer und seine PIN und kann sich bei der echten Commerzbank einloggen und sich irgendwas kaufen oder auf sein eigenes Konto Geld überweisen, ganz "legal", weil der ja die daten von kunde hat.

Was können wir tun, um sowas zu sehen?
Eigentlich nix, die adressen sehen ja gleich aus.
ABER !

International Domains werden kodiert, aber nicht vom Browser angezeigt.

Dies kann IDN Info.
Wenn eine Domain, ein internationalisiertes Zeichen enthält, dass verwechselbar ist (unser "A" und das russische) zeigt er dies in einem Fenster an und zeigt in der Adresszeile ein rotes Viereck mit IDN wie internationaler Domainname an.

Das sehen wir.
Wenn uns nun IDN Info anzeigt, dass bei der Domain "commerzbank.de" ein internationales zeichen ist (unser normales deutsche "A" bemängelt er nicht),
können wir fast sicher sein, dass jemand uns betrügen will und gehen gar nicht zu der "gefälschten" seite oder geben nichts ein.

Ich hoffe, ich konnte das Problem einigermaßen rüberbringen.

FAlls nicht, bescheid sagen und Terror machen

CU
Syn

Ach was!
Internet-Adresse in einen HexEditor kopieren und die hexadezimale Darstellung für jeden Buchstaben begutachten. Man erkennt sofort und mit Sicherheit, ob ein optisches a auch ein tatsächliches a ist.

Bei erhaltenen eMails immer den erweiteren Header ansehen und prüfen.

Wichtige, aber mit Zweifeln am Urheber behaftete eMails mit vollständigem Header als Anhang per eMail an die richtige Firma zur Überprüfung schicken. Manche Firmen haben dafür eine spezielle eMail-Adresse mit automatisiertem Verfahren zur Prüfung solcher Rück-eMails, innerhalb kurzer Zeit kommt da eine bestätigende oder ablehnende Antwort zurück.

Zitat (FlotteLola, 27.07.2005)

Ach was! Internet-Adresse in einen HexEditor kopieren und die hexadezimale Darstellung für jeden Buchstaben begutachten. Man erkennt sofort und mit Sicherheit, ob ein optisches a auch ein tatsächliches a ist. Bei erhaltenen eMails immer den erweiteren Header ansehen und prüfen. Wichtige, aber mit Zweifeln am Urheber behaftete eMails mit vollständigem Header als Anhang per eMail an die richtige Firma zur Überprüfung schicken. Manche Firmen haben dafür eine spezielle eMail-Adresse mit automatisiertem Verfahren zur Prüfung solcher Rück-eMails, innerhalb kurzer Zeit kommt da eine bestätigende oder ablehnende Antwort zurück.

Ich möchte Dir nicht zu nahe treten aber hast Du vielleicht die Klugscheiss-Tags bei Deinem Beitrag vergessen ?

Wieviele Leute hier wissen wohl, was ein Hex-Editor ist ?

Nix für ungut aber ich glaube, Syn wollte ein schwieriges Thema den anderen hier wirklich nahe bringen und dafür hat er meinen ganzen Respekt.

Andererseits glaube ich bei Deinem Beitrag nicht, dass es jemanden, der es vorher schon nicht richtig verstanden hat, wirklich weitergebracht hat.

Wäre ich ein normaler Mensch ohne IT-Kentnisse, würde ich spätestens nach Deinem Beitrag denken: "Ach, das ist so eine abgefahrene Computer-Sch***, da muss ich mich nicht drum kümmern".

Und ich glaube nicht, dass das die Intention von syn war, sondern genau das Gegenteil.

Murphy

es gibt und gab nur EINER hier der immer wieder auf syn herumhackt. wahrscheinlich ist es einfach der neid weil andere NOCH mehr im köpfchen haben als er selbst.

Lola hat natürlich Recht, wenn sie sagt, dass es einfacher ist, sich die Internet-Adresse aus seinem Hyperlink zu kopieren, diese in einen Hexeditor einzufügen und dann in einer Liste internationaler Zeichencodes nach zu schauen, ob ein "A" mit dem ASCII-Code 65 und dem Hex-Code 41 irgendwo nicht mit diesem Standard-Code auftaucht, sondern bespielsweise ein Hyperlink als "53-63-68-77-61-63-68-73-69-6E-6E" codiert ist.
(Lola möchte bitte diese Ziffernfolge mit ihrem Hex-Editor in Buchstaben umsetzen, danke!)

Dies ist natürlich w e s e n t l i c h einfacher, als bei fragwürdigen Adressen eine Meldung mit einem "roten Schild", das Vorsicht signalisiert, agezeigt zu bekommen.
Das mit dem Hex-Editor und den Zeichencodelisten ist vor allem für N o r m a l b e n u t z e r einfacher, weil es so klare Aussagen schafft.

Gut, ich gebe zu, es gibt aber noch einen einfacheren Weg, als IDN-Info oder den Hex-Editor zu benutzen.

Jedes Mal, wenn ich eine E-Mail mit einem Hyperlink bekomme, mache ich nämlich folgendes:

U n d d i e s e M e t h o d e i s t f ü r N i c h t - I T - P r o f i s d i e E i n f a c h s t e !!

Ich öffnet die e-Mail mit einem externen Web-Seiten-Editor z.B. Adobe GoLive oder Dreamweaver oder HomeSite.
Nun suche ich die Stelle mit dem Link unter <a href="vermeintelicheAdresse.TOPLEVELDOMAIN" >
und kopiere sie in eine Spezielles Verzeichnis.
Dann wechsle ich meinen Dual-Prozessor-PC auf Linux und füge den Link in ein Progrmm namens tracert.
Damit kann ich nachvollziehen, wo der Link beheimatet ist.
Ich verknüpfe nun GPS und tracert und weiß dann, wo die Mail herkommt, denn ich kann es auf einer Landkarte sehen.
Alternative bestimme ich die IP-Adresse des Absenders der Mail und schaue wieder mit tracert nach, wo sie beheimatet ist.
Nun weiß ich, dass der Mail-Absender in Amerika oder Timbuktu wohnt.
Ich überlege nun, ob vielleicht nicht ein Angestellter der Commerzbank (siehe meinen vorigen Beitrag) nicht zufälligerweise einen zweitwohnsitz in Timbuktu hat und rufe das Telefonbuch von Timbuktu im Internet aus und suche mir mit Hilfe eines Datenbank-Crack-Programms alle Leute heraus, die bei der Commerzbank beschäftigt sind und in Timbuktu arbeiten.
Dann rufe ich jeden von ihnen an und frage, ob die Mail okay ist, wenn ja, dann kann ich die Transaktion tätigen.

Andernfalls mache ich die E-Mail nicht auf, weil sie ja gefälscht sein K Ö N N T E.

Einfacher geht es wirklich nicht.

JO syn ich habs kapiert. ist doch sooo einfach nur den verstand einsetzen

ist doch klar.

Aber der einfachste Weg ist, Leute die anderen per definition einfach nur ans Bein pissen wollen, freundlich zu sagen, was sie mich können

Und DAS kommt wirklich von Herzen

Murphy

erstmal merci für die Infos, Syn.

nun: ich wüsste nicht, was so schwer sein soll, an der installation der erweiterung. Einfach auf unter http://4t2.cc/mozilla/idn auf "IDN Info 0.6.3 für Firefox installieren" klicken. dann kommt oben über der website eine Leiste, auf der man auf einen Button klicken kann. Es öffnet sich ein Fenster, in dem man die Seite http://4t2.cc/mozilla/idn als vertrauenswürdig einstufen kann und mit einem 2. Klick auf "IDN Info 0.6.3 für Firefox installieren" installiert man das Plugin

Zitat (Bernhard, 27.07.2005)

erstmal merci für die Infos, Syn. nun: ich wüsste nicht, was so schwer sein soll, an der installation der erweiterung. Einfach auf unter http://4t2.cc/mozilla/idn auf "IDN Info 0.6.3 für Firefox installieren" klicken. dann kommt oben über der website eine Leiste, auf der man auf einen Button klicken kann. Es öffnet sich ein Fenster, in dem man die Seite http://4t2.cc/mozilla/idn als vertrauenswürdig einstufen kann und mit einem 2. Klick auf "IDN Info 0.6.3 für Firefox installieren" installiert man das Plugin

hi, bernard

ich wollte nicht unbedingt zeigen, wie man vertrauenswürdige seiten einstellt.
es kann passieren, dass man von jemanden oder jefrauden ein plugin untergeschoben bekommt, dann die seite mal eben kurz als vertrauenswürdig einstuft und dann ein virus oder watt auch immer auf dem rechner hat.

ich denke doch nur an eure sicherheit

Ich glaube ich versteh das alles nicht so ganz genau

@Syntronica: löblich hast ja recht

Zitat (Ela, 27.07.2005)

Ich glaube ich versteh das alles nicht so ganz genau

nicht heulen
worum geht es denn?

@ Syntro,
du fühlst dich doch nicht etwa von mir ans Bein gepinkelt?
Das war jedenfalls nie meine Absicht.

HexEditor ist die sicherste und wenn du damit umgehen kannst auch einfachste Methode. Ist ein recht einfaches Tool, das du leicht auf einwandfreie Funktion überprüfen kannst. Einfach alpha-numerische Zeichen eingeben und die zugeordnete Hex-Darstellung auf Richtigkeit prüfen. Wenn du die Paare nicht im Kopf hast, reicht ein einfacher Blick in eine gedruckte Tabelle.

Ein Plugin zu prüfen ist viel schwieriger und mit größerer Unsicherheit behaftet.

Bei einer Neuinstallation wird dann vielleicht dieses Plugin vergessen und der User verläßt sich darauf, daß sich irgendwas melden wird, sollte an einer Adresse was nicht stimmen.

Von der Sicherheit ist es viel besser, wenn man sich die routinemäßige Denkweise angewohnt hat:

Adresse - Prüfen - HexEditor - optische/rechnerinterne Darstellung

Dir brauche ich das eigentlich nicht zu erzählen.


Erzähle den Leuten hier doch was über der rechnerinterne Darstellung von Alphabet, Sonderzeichen und Zahlen, daß alle Zeichen in einer festen Reihenfolge aneinandergereiht und dann durchnummeriert werden.
Mir hört ja z.Z. keiner zu, weil mich gerade alle hassen.


Du darfst mir natürlich auch gerne widersprechen.

Zitat (FlotteLola, 28.07.2005)

Erzähle den Leuten hier doch was über der rechnerinterne Darstellung von Alphabet, Sonderzeichen und Zahlen, daß alle Zeichen in einer festen Reihenfolge aneinandergereiht und dann durchnummeriert werden. Mir hört ja z.Z. keiner zu, weil mich gerade alle hassen. Du darfst mir natürlich auch gerne widersprechen.

Na so eine Überraschung am frühen Morgen.

Warum so defensiv ? Hat Dein Sendungsbewusstsein wieder zugeschlagen oder sind deine anderen Foren alle dicht ?

Scheinst ja vor Langeweile doch an den Ort der Einfältigen zurückgekehrt zu sein (jaja, nachts kriechen halt die Ratten aus den Löchern...).

In diesem Sinne einen angenehmen Tag,

Murphy


PS: Ist schon witzig dass DU meinst, Syn vorschlagen zu müssen, was er den Leuten erzählt..nene, das ist ja wirklich süss

Ich finde es super das Syn alles so gut erklärt. Das verstehe sogar ich . Er soll ja weiter erklären