Homographen-Angriffe: Wie Hacker*innen dich mit ähnlich aussehenden Domains täuschen

Homographen-Angriffe verstehen: Wie Cyberkriminelle visuelle Ähnlichkeiten ausnutzen

In der Vorcomputerzeit ermöglichte die visuelle und optische Ähnlichkeit bestimmter Schriftzeichen die Vereinfachung der Schreibmaschinenkonstruktion, wodurch die Anzahl der Tasten auf Tastaturen reduziert und somit Ressourcen gespart wurden. Heute nutzen Cyberkriminelle diese Ähnlichkeiten durch Homographen-Angriffe aus, bei denen Benutzer*innen Zeichen visuell nicht unterscheiden können, was zu Phishing- und Domain-Spoofing-Risiken führt.

Die zuvor erwähnte Einsparung bestand darin, die Tasten „0“ und „1“ von Tastaturen zu entfernen, die erfolgreich durch den Großbuchstaben „O“ und den Kleinbuchstaben „l“ ersetzt wurden. Es oblag den Menschen zu interpretieren, ob diese Symbole Ziffern oder Buchstaben darstellten. Die Notwendigkeit, Null nicht mit „o“ zu verwechseln, führte zur Tradition des Durchstreichens von Nullen, damit Computerbedienende keine Zweifel daran hatten, was sie eingaben.

Solche Ähnlichkeiten werden als Homographen bezeichnet (wenn es sich um Wörter handelt) oder als Homoglyphen, wenn es um einzelne Zeichen geht.

Die bewusste Ersetzung ähnlich aussehender Zeichen aus verschiedenen Alphabeten wurde auch zu Unterhaltungszwecken praktiziert (z. B. Faux-Kyrillisch). Die Volapük-Kodierung, bei der lateinische Zeichen kyrillische basierend auf visueller Ähnlichkeit darstellen, wurde in den frühen Tagen des Internets verwendet, um den Mangel an Unterstützung für Kyrillisch zu überwinden.

Das Problem entstand, als Cyberkriminelle Homographen erkannten, und die Tatsache, dass Benutzende diese Zeichen visuell nicht voneinander unterscheiden können, schuf einen neuen potenziellen Angriffsvektor. Moderne Homographen-Angriffe nutzen diese visuellen Tricks in Phishing-E-Mails, betrügerischen Domains und gefälschten Websites aus, was es Benutzenden erschwert, böswillige Absichten zu erkennen.

Was ist ein Homographen-Angriff?

Ein Homographenangriff tritt auf, wenn Angreifende Zeichen in einer URL oder einem Domainnamen durch visuell ähnliche Alternativen aus verschiedenen Alphabeten oder Kodierungssystemen ersetzen. Für das menschliche Auge sieht die Domain legitim aus, leitet Benutzende jedoch auf eine bösartige Website um. Diese Angriffe basieren oft auf Homoglyphen, Zeichen, die für Menschen identisch aussehen, aber von Computern unterschiedlich interpretiert werden.

Diese Angriffe sind besonders gefährlich, da sie die normale Wachsamkeit der Benutzenden umgehen. Selbst vorsichtige Benutzerinnen und Benutzer können durch eine vertraut aussehende Domain getäuscht werden. Homographenangriffe werden häufig in Phishing-Kampagnen eingesetzt, bei denen Angreifende darauf abzielen, Zugangsdaten zu stehlen, Malware zu verbreiten oder Kommunikationen abzufangen.

Beispiel: Ein Benutzer versucht, www.paypaI.com (mit einem kleinen „l“, das durch ein großes „I“ ersetzt wurde) anstelle des legitimen www.paypal.com zu besuchen. Wenn der Angreifer eine gefälschte Anmeldeseite hostet, können Opfer unwissentlich sensible Informationen preisgeben.

ASCII- und Unicode-Grundlagen

Homographen traten erstmals in Zeichenkodierungssystemen auf und schufen so einen der frühesten Angriffsvektoren für Cyberkriminelle. Das ASCII-System, ein 7-Bit-Kodierungsstandard, der in frühen Computern verwendet wurde, hat nur 94 druckbare Zeichen. Bestimmte Zeichenkombinationen können ähnlich aussehen – zum Beispiel können „r“ und „n“ visuell wie ein „m“ erscheinen, was es Domains wie rnicrosoft.com ermöglicht, microsoft.com zu imitieren. Domains wie googIe.com oder paypaI.com verwenden ein großes „I“ anstelle eines kleinen „l“. Schmale Schriftarten wie Tahoma (Standard in Windows XP) können Homoglyphen erzeugen, zum Beispiel „cl“, das einem „d“ ähnelt, oder „cj“, das einem „g“ ähnelt.

Da ASCII auf englische Buchstaben und Symbole beschränkt war, waren nur wenige visuelle Imitationen möglich. Die Einführung von Unicode erweiterte jedoch das Potenzial für Homograph-Angriffe dramatisch. Unicode unterstützt Tausende von Zeichen aus Alphabeten weltweit, darunter diakritische Zeichen, Akzente und verschiedene Arten von Bindestrichen. Buchstaben aus nicht-lateinischen Alphabeten – wie Griechisch oder Kyrillisch – können lateinischen Zeichen zum Verwechseln ähnlich sehen, werden aber als völlig unterschiedliche Codepunkte verarbeitet. Zum Beispiel erscheint der lateinische Kleinbuchstabe „a“ (U+0061) visuell identisch mit dem kyrillischen Kleinbuchstaben „а“ (U+0430).

Die entscheidende Schwachstelle ergibt sich aus der Diskrepanz zwischen menschlicher Wahrnehmung und Computerverarbeitung. Während Benutzende ein vertrautes lateinisches „a“ sehen, interpretiert der Computer es als ein anderes Zeichen. Das IDN-System (Internationalized Domain Names) ermöglicht es, Domainnamen den vollständigen Unicode-Zeichensatz zu verwenden, was sowohl die Funktionalität als auch das Risiko erhöht. Obwohl IDNs die globale Zeichennutzung ermöglichen, verstärken visuelle Ähnlichkeit, Rendering-Probleme und kleine Schriftarten das Potenzial für Homograph-Angriffe erheblich.

Arten von Homograph-Angriffen

Angriffe, die diese visuellen Tricks nutzen, werden kollektiv als Homograph-Angriffe bezeichnet, obwohl sie technisch Homoglyphen beinhalten (siehe Homographe vs. Homoglyphen). Sie lassen sich in zwei Hauptkategorien unterteilen:

1. Homograph-Phishing-Angriffe: Diese ausgeklügelten Phishing-Angriffe nutzen ähnlich aussehende Zeichen, um Domains bekannter Marken zu imitieren. Das einfachste Beispiel ersetzt Buchstaben durch visuell ähnliche Zeichen, wie z.B. „O“ durch „0“, wodurch Domains wie g00gle.com entstehen. Diese gefälschten Websites erfassen Anmeldedaten, verbreiten Malware oder leiten Datenverkehr um, ohne dass der Benutzer oder die Benutzerin es bemerkt.

2. IDN-Homographen-Angriffe: Angriffe auf internationalisierte Domainnamen (IDNs) nutzen Unicode aus, wodurch Angreiferinnen und Angreifer Domains mit Zeichen aus nicht-lateinischen Alphabeten registrieren können. Zeichen aus dem Griechischen, Kyrillischen und anderen Schriften können lateinischen Buchstaben zum Verwechseln ähnlich sehen, wodurch gefälschte Domains legitim erscheinen. Dies ermöglicht Phishing, Kontodiebstahl und andere Betrugsformen. Zum Beispiel kann ein kyrillisches „а“ in einer Domain wie ein lateinisches „a“ aussehen, wodurch Nutzende auf eine bösartige Seite geleitet werden, die authentisch wirkt.

Diese Angriffe werden manchmal als „Script Spoofing“ bezeichnet, eine Form des Typosquatting, bei der die visuelle Ähnlichkeit einfache Tippfehler ersetzt. Durch die Kombination von Zeichen aus verschiedenen Schriften können Angreifende Domains erstellen, die vertrauenswürdigen Websites zum Verwechseln ähnlich sehen und selbst vorsichtige Nutzerinnen und Nutzer täuschen.

Homographen vs. Homoglyphen

Homographen sind Wörter, die gleich geschrieben werden, sich aber in Aussprache und Bedeutung unterscheiden, z.B.:

• Modern – Adjektiv: Zeitgemäß, aktuell. Beispiel: „Das Haus ist sehr modern eingerichtet.“ Verb (1. Person Plural von modern): Wir verrotten. Beispiel: „Wir modern im feuchten Keller.“ (Wir verrotten im feuchten Keller.)
• Bank – Nomen: Ein Finanzinstitut.
  Beispiel: „Er arbeitet bei einer großen Bank.“
  Nomen: Eine Sitzbank.
  Beispiel: „Sie saßen zusammen auf der Bank im Park.“
• Lernen / lehren – Obwohl keine perfekten Homographen, werden diese von Deutschlernenden oft verwechselt, aber bessere Beispiele sind:
• Schloss – Nomen: Ein Schloss oder Palast.
  Beispiel: „Das Schloss Neuschwanstein ist weltberühmt.“
  Nomen: Ein Schloss (für eine Tür).
  Beispiel: „Das Schloss an der Tür ist kaputt.“
• Tau – Nomen: Tau.
  Beispiel: „Am Morgen lag Tau auf dem Gras.“
  Nomen: Seil.
  Beispiel: „Das Schiff ist mit einem starken Tau festgebunden.“
• Licht – Nomen: Licht (Beleuchtung).
  Beispiel: „Mach bitte das Licht an.“
  Nomen (veraltete poetische Verwendung): Erleuchtung oder spirituelle Klarheit.
  Beispiel: „Er suchte das innere Licht.“

Homoglyphen hingegen sind unterschiedliche alphanumerische Zeichen (Glyphen), die ähnlich aussehen und auf mehr als eine Weise interpretiert werden können, z. B. die Ziffer Null und der Großbuchstabe „O.“

Es gibt viele solcher Unklarheiten, einige sind bei bestimmten Schriftarten offensichtlicher (z. B. Großbuchstabe „I“, Ziffer Eins und Kleinbuchstabe „l“ oder Null vs. „O“), andere über verschiedene Alphabete hinweg (z. B. Lateinisch „H“ (Unicode 0048), Kyrillisch „Н“ (Unicode 041D) und Griechisch „Η“ (Unicode 0397), alle visuell identisch). In anderen Fällen stellen Homoglyphen denselben Vokalklang dar, z. B. Lateinisch „A“, Kyrillisch „А“ und Griechisch „Α“ (Alpha).

Warum Homoglyphen-Angriffe effektiv sind

Diese Angriffe nutzen die Tatsache aus, dass Benutzer der visuellen Erscheinung von Domainnamen natürlich vertrauen. Durch die Kombination von Zeichen aus verschiedenen Schriften – Lateinisch, Kyrillisch, Griechisch und anderen – können Angreifende URLs erstellen, die legitimen Domains identisch aussehen. Dies macht Phishing und den Diebstahl von Zugangsdaten effektiver, da selbst aufmerksame Benutzerinnen und Benutzer subtile Unterschiede möglicherweise nicht bemerken.

Beispiel für einen IDN-Homoglyphen-Angriff: Eine Domain, die ein kyrillisches „а“ anstelle eines lateinischen „a“ verwendet, kann eine legitime Website perfekt nachahmen und Benutzer dazu verleiten, vertrauliche Informationen preiszugeben, während sie authentisch erscheint.

Verteidigung gegen Homoglyphen-Angriffe

Die Abwehr von Homograph-Angriffen erfordert sowohl nutzerseitiges Bewusstsein als auch serverseitige oder Register-Maßnahmen. Obwohl das Risiko dieser Angriffe bereits vor der Einführung von IDN (Internationalized Domain Names) antizipiert wurde, wurden viele frühe Empfehlungen von wichtigen Top-Level-Domains (TLDs) ignoriert. Registern wurde geraten, die akzeptierten Zeichen auf das lateinische Alphabet oder ihre nationalen Schriftzeichen zu beschränken, anstatt alle Unicode-Zeichen zuzulassen, aber die Durchsetzung war inkonsistent.

Browserbasierte Schutzmaßnahmen

Für Nutzer*innen ist die einfachste Verteidigung, sich auf Browser-Sicherheitsfunktionen zu verlassen, die Homograph-Angriffe erkennen und abschwächen. Moderne Browser zeigen IDN-Adressen im Punycode an, um nicht-lateinische Zeichen zu enthüllen und eine visuelle Täuschung (= Spoofing) zu verhindern. Diese Schutzmaßnahmen haben jedoch Grenzen. Bösartige Links können Nutzende weiterhin per E-Mail, soziale Medien oder Websites erreichen, und Malware kann bereits laden, bevor die Nutzerin oder der Nutzer die Punycode-Anzeige bemerkt.

Beispiele für das Verhalten von Browsern:

• Google Chrome (v51+) verwendet einen Algorithmus ähnlich dem von Firefox und zeigt IDNs nur an, wenn die Skripte konsistent sind oder die TLD Zeichen einschränkt.
• Microsoft Edge (Chromium-basiert, 2019+) und Opera folgen denselben Erkennungsregeln.
• Safari rendert verdächtige Zeichensätze standardmäßig als Punycode; dieses Verhalten kann über die macOS-Systemeinstellungen geändert werden.
• Mozilla Firefox (v22+) zeigt IDNs nur an, wenn alle Labels dasselbe Skript verwenden oder die TLD Homograph-Angriffe verhindert. Andernfalls erscheint die Adresse im Punycode.

Auch mit diesen Schutzmaßnahmen müssen Nutzende wachsam bleiben, da Homograph-Angriffe in Kombination mit der Verbreitung von Malware die Punycode-Erkennung umgehen können, bis der Link angeklickt wird.

Serverseitige und Register-Abwehrmaßnahmen

Organisationen und Domain-Registries können zusätzliche Maßnahmen implementieren, um IDN-Phishing-Risiken zu reduzieren.

• Die IDN-Homographen-Datenbank, eine Python-Bibliothek, nutzt maschinelles Lernen, um potenziell bösartige Homoglyphen zu erkennen und sich gegen Angriffe zu verteidigen.
• ICANN setzt Richtlinien durch, die verhindern, dass internationalisierte TLDs Zeichen verwenden, die bestehenden lateinischen TLDs ähneln. Vorgeschlagene TLDs wie .бг (Bulgarien), .укр (Ukraine) und .ελ (Griechenland) wurden ursprünglich aufgrund von Bedenken hinsichtlich der visuellen Ähnlichkeit abgelehnt. Später wurden diese und andere TLDs wie Serbiens .срб und Mongoliens .мон akzeptiert.
• Drei-Buchstaben-TLDs sind im Allgemeinen sicherer als Zwei-Buchstaben-TLDs, da sie seltener mit bestehenden ISO-3166-basierten Ländercodes übereinstimmen. Hohe Registrierungskosten machen betrügerische homographische TLDs zudem unwirtschaftlich und ziehen die Kontrolle von ICANN auf sich.
• Einige Registries, wie die russische .рф, akzeptieren nur kyrillische Zeichen für Top-Level-Domains und verbieten explizit Mischungen mit lateinischen oder griechischen Schriften. Beliebte gTLDs wie .com bleiben jedoch weiterhin anfällig für Homographen-Angriffe.

Diese kombinierten Maßnahmen—Browser-Schutzmechanismen, Registry-Richtlinien und serverseitige Tools—sind unerlässlich, um das Risiko von Homographen-Angriffen zu reduzieren. Benutzer*innen, Entwickler*innen und Domain-Betreiber*innen spielen alle eine Rolle bei der Verhinderung von Spoofing, Phishing und dem Diebstahl von Zugangsdaten.

Bekannte Homographen-Angriffe

Homographen-Angriffe sind seit über zwei Jahrzehnten dokumentiert und zeigen, wie Angreifende die visuelle Ähnlichkeit zwischen Zeichen ausnutzen, um Benutzende zu täuschen. Diese Angriffe reichen von Proof-of-Concept-Studien bis hin zu realen Phishing-Kampagnen.

1. Dezember 2001 – Microsoft kyrillische Variante

Die Forscher Evgeniy Gabrilovich und Alex Gontmakher vom Technion (Israel) demonstrierten, dass es möglich war, eine Variante von microsoft.com unter Verwendung von kyrillischen Zeichen zu registrieren. Ihr wegweisendes Papier, „The Homograph Attack“, zeigte, wie Unicode-URLs legitime Adressen fälschen und Benutzende dazu verleiten könnten, bösartige Websites zu besuchen.

2. 7. Februar 2005 – PayPal-Exploit auf der Shmoocon

Auf der Hacker-Konferenz Shmoocon stellte Eric Johanson einen Homograph-Exploit vor, der IDNA-unterstützende Browser von der legitimen PayPal-Seite zu www.pаypal.com umleitete, wobei das erste „a“ durch das kyrillische „а“ ersetzt wurde. Die gefälschte Website zeigte andere Inhalte und wurde für Phishing-Angriffe genutzt. Dieses Ereignis verdeutlichte die Risiken von IDN-Phishing bei beliebten Online-Diensten. (Slashdot-Bericht)

3. 2011 – Aprilscherz von KBOI-TV

Ein anonymer Benutzer registrierte eine homografische Domain, die dem Fernsehsender KBOI-TV ähnelte, und erstellte so eine gefälschte Nachrichtenwebsite. Die Website veröffentlichte einen satirischen Aprilscherz, in dem behauptet wurde, der Gouverneur von Idaho habe die Musik von Justin Bieber verboten. Obwohl harmlos, zeigte dieser Angriff das Potenzial für irreführende Inhalte über visuell ähnliche Domains auf.

4. September 2017 – Betabot-Trojaner über adobe.com

Der Sicherheitsforscher Ankit Anubhav entdeckte einen Unicode-Homograph-Angriff, bei dem Angreifer adoḅe.com (mit einem punktierten „b“) registrierten, um den Betabot-Trojaner zu verbreiten. Dieses Beispiel zeigt, dass Homograph-Angriffe nicht auf Phishing beschränkt sind; sie können auch Malware direkt an nichtsahnende Benutzer liefern.

5. 2018 – Facebook-Spoofing-Kampagne

Forscher berichteten über IDN-Phishing-Domains wie fаcebook.com (kyrillisches „а“), die verwendet wurden, um Anmeldeinformationen abzufangen. Diese Domains sahen der legitimen facebook.com identisch aus, leiteten die Benutzenden jedoch auf bösartige Websites, die darauf ausgelegt waren, persönliche Informationen zu stehlen.

6. 2019 – PayPal-Phishing über paypaI.com

Angreifer registrierten paypaI.com (mit einem großen „I“), um nichtsahnende Nutzerinnen und Nutzer über E-Mail-Kampagnen anzugreifen. Die Domain ähnelte stark dem echten paypal.com und verleitete Nutzende dazu, auf einer gefälschten Anmeldeseite sensible Informationen einzugeben.

7. 2020 – GitHub Typosquatting-Angriff

Bösartige Akteure erstellten Homograph-Repositories mit ähnlich aussehenden Namen wie offizielle Projekte auf GitHub. Durch die Ausnutzung visueller Ähnlichkeiten injizierten sie Malware oder bösartigen Code in die Systeme nichtsahnender Nutzerinnen und Nutzer.

8. 2021 – Phishing bei Kryptowährungsbörsen

Cyberkriminelle registrierten Domains wie bitcоin.com (kyrillisches „o“), um legitime Kryptowährungsbörsen zu imitieren. Nutzende, die versuchten, die echte Seite aufzurufen, wurden auf betrügerische Plattformen umgeleitet, die darauf ausgelegt waren, Gelder zu stehlen.

9. 2022 – Spoofing von Online-Banking-Anmeldungen

Angreifende nutzten Homograph-Domains wie bankofamеrica.com (kyrillisches „e“), um legitime Online-Banking-Seiten nachzuahmen. Diese gefälschten Seiten erfassten Anmeldeinformationen, was zu unbefugtem Zugriff auf die Konten der Opfer führte.

10. 2023 – Nachahmung von E-Commerce-Websites

Cyberkriminelle registrierten Domains wie amazоn.com (kyrillisches „o“), um die beliebte E-Commerce-Plattform zu imitieren. Nutzende wurden dazu verleitet, Zahlungsinformationen auf gefälschten Seiten einzugeben, was zu finanziellen Verlusten führte.

Diese Fälle unterstreichen die Vielseitigkeit von Homograph-Angriffen, die für Phishing, Malware-Verbreitung, Content-Spoofing und den Diebstahl von Anmeldeinformationen eingesetzt werden können. Nutzende, Entwickelnde und Organisationen müssen die Mechanismen dieser Angriffe verstehen, um nicht Opfer zu werden.

Fazit & bewährte Verfahren

Homograph-Angriffe nutzen die visuelle Ähnlichkeit von Zeichen über verschiedene Alphabete und Kodierungssysteme hinweg aus, was sie zu einer anhaltenden und subtilen Bedrohung in der Cybersicherheit macht. Von ASCII-basierten Tricks wie rnicrosoft.com bis hin zu Unicode-IDN-Exploits wie mіcrosoft.com mit kyrillischen Zeichen nutzen Angreifende Homoglyphen, um vertrauenswürdige Domains zu imitieren und selbst aufmerksame Nutzende zu täuschen. Das Verständnis der Funktionsweise dieser Angriffe ist der erste Schritt, um dich selbst und deine Organisation zu schützen.

Bewährte Methoden zur Abwehr von Homograph-Angriffen:

• URLs sorgfältig prüfen: Fahre immer mit der Maus über Links oder überprüfe die Adressleiste des Browsers auf subtile Unterschiede. Die Punycode-Darstellung enthüllt oft IDN-Homographen.
• Browserschutz nutzen: Moderne Browser wie Chrome, Firefox, Safari und Edge verfügen über integrierte Schutzmaßnahmen gegen Homograph-Angriffe. Halte Browser stets aktuell, um von diesen Schutzmaßnahmen zu profitieren.
• Auf vertrauenswürdige Lesezeichen verlassen: Greife auf kritische Dienste wie Online-Banking oder E-Mails über Lesezeichen oder manuell eingegebene URLs zu, anstatt über Links in E-Mails oder Nachrichten.
• Nutzerinnen und Nutzer schulen: Schule Mitarbeitende darin, verdächtige URLs und die Risiken im Zusammenhang mit IDN-Homographen zu erkennen.
• Sicherheitstools nutzen: Verwende Passwortmanager und Anti-Phishing-Software, die die Domain-Authentizität vor der Übermittlung von Anmeldedaten validieren.

Indem du diese Richtlinien befolgst, kannst du das Risiko, Opfer von Homograph-Angriffen und damit verbundenen Phishing-Betrügereien zu werden, erheblich reduzieren.

Bleibe wachsam

Das Verständnis des Unterschieds zwischen Homographen und Homoglyphen, das Erkennen verdächtiger Domains und die Verwendung der richtigen Browser- und Sicherheitstools sind wesentliche Schritte, um deine Online-Sicherheit zu gewährleisten. Homograph-Angriffe mögen subtil erscheinen, aber mit Bewusstsein und geeigneten Schutzmaßnahmen können sie effektiv entschärft werden.

Für alle, die sich breiter mit Cybersicherheit beschäftigen möchten, einschließlich ethischer Hacking-Praktiken, findest du in unserem detaillierten Leitfaden weitere Informationen zu Was ist ethisches Hacking und wie wird man ein ethischer Hacker. Wenn du zusätzlich mehr über unsere strukturierten Trainingsprogramme erfahren möchtest, besuche unsere Cybersecurity Weiterbildungsprogramm-Seite für weitere Möglichkeiten.