ADMIN

2023

08

2023-07-28T12:00:00

Remote Work

PRAXIS

064

Security-Tipp

Sicherheit

Cyberangriffe

ZIP-Toplevel-Domains

Ein neuer Köder

von Dr. Matthias Wübbeling

Veröffentlicht in Ausgabe 08/2023 - PRAXIS

Sie finden den Inhalt dieses Artikels auch unter "www.it-administrator.de/security-tipp/@Heft-08-2023.zip" – auf diese Art lassen sich Nutzer seit Kurzem reinlegen und auf schadhafte Webseiten umleiten. Der Grund hierfür ist Googles neue Toplevel-Domain ".zip", die ungeschickterweise der Dateiendung für Archive entspricht. In diesem Security-Tipp beleuchten wir, wie Angreifer mit den neuen ZIP-Domains auf große Phishing-Tour gehen können.

Immer wieder steht in unserem Security-Tipp das Domain Name System (DNS) im Fokus. Dabei beleuchten wir jedes Mal unterschiedliche Herangehensweisen, wie Angreifer mittels DNS arglose Benutzer in die Falle locken. Vor kurzem hat Google die Domain-Registrierung für weitere Toplevel-Domains gestartet, darunter auch ZIP und MOV, was unter Security-Experten zu Entrüstungen geführt hat. Die daraus resultierenden Risiken wollen wir im Folgenden näher erläutern.
Links sind anklickbare Inhalte
Computernutzer wissen, dass etwas passiert, wenn sie auf einen unterstrichenen blauen Text klicken. Meist öffnet sich eine Webseite und sie erhalten dort die erwarteten Informationen. Dabei werden die Benutzer vor allem durch den Text um einen Link herum dazu verleitet, auf diesen zu klicken. Erschwerend kommt nun hinzu, dass die meisten User die Endung ZIP mit der Dateinamenserweiterung komprimierter Archive in Verbindung bringen und nicht mit einer Webdomain; Ähnliches gilt für die ebenfalls neue Domain-Endung MOV.
Ein Risiko besteht dabei darin, dass E-Mailprogramme den Nachrichtentext durchforsten und gewisse Inhalte für die Nutzer aufbereiten. So werden auch in reinen Text-E-Mails etwa URLs anklickbar, selbst wenn die E-Mail selbst aus einer Zeit stammt, in der Anzeigeprogramme diese Funktionalität noch nicht boten. Damit wandeln die Programme natürlich auch erst seit Kurzem existierende ZIP-Domains zukünftig innerhalb des Textes in Links um – ein Beispiel wäre der Text: "Angehängt findest du den neuesten Report in der Datei Jahresbericht.zip". Derartige E-Mails verweisen künftig eventuell auf eine schadhafte Domain, sofern sich Angreifer entsprechend passende Domainnamen unter den Nagel reißen – und danach sieht es derzeit aus.
Immer wieder steht in unserem Security-Tipp das Domain Name System (DNS) im Fokus. Dabei beleuchten wir jedes Mal unterschiedliche Herangehensweisen, wie Angreifer mittels DNS arglose Benutzer in die Falle locken. Vor kurzem hat Google die Domain-Registrierung für weitere Toplevel-Domains gestartet, darunter auch ZIP und MOV, was unter Security-Experten zu Entrüstungen geführt hat. Die daraus resultierenden Risiken wollen wir im Folgenden näher erläutern.
Links sind anklickbare Inhalte
Computernutzer wissen, dass etwas passiert, wenn sie auf einen unterstrichenen blauen Text klicken. Meist öffnet sich eine Webseite und sie erhalten dort die erwarteten Informationen. Dabei werden die Benutzer vor allem durch den Text um einen Link herum dazu verleitet, auf diesen zu klicken. Erschwerend kommt nun hinzu, dass die meisten User die Endung ZIP mit der Dateinamenserweiterung komprimierter Archive in Verbindung bringen und nicht mit einer Webdomain; Ähnliches gilt für die ebenfalls neue Domain-Endung MOV.
Ein Risiko besteht dabei darin, dass E-Mailprogramme den Nachrichtentext durchforsten und gewisse Inhalte für die Nutzer aufbereiten. So werden auch in reinen Text-E-Mails etwa URLs anklickbar, selbst wenn die E-Mail selbst aus einer Zeit stammt, in der Anzeigeprogramme diese Funktionalität noch nicht boten. Damit wandeln die Programme natürlich auch erst seit Kurzem existierende ZIP-Domains zukünftig innerhalb des Textes in Links um – ein Beispiel wäre der Text: "Angehängt findest du den neuesten Report in der Datei Jahresbericht.zip". Derartige E-Mails verweisen künftig eventuell auf eine schadhafte Domain, sofern sich Angreifer entsprechend passende Domainnamen unter den Nagel reißen – und danach sieht es derzeit aus.
Interaktive Webseiten nutzen ebenfalls ein entsprechendes Highlighting, um Benutzer komfortabel auf die in den Inhalten genannten URLs umzuleiten. Erste Recherchen zeigen, dass auch ältere Inhalte dynamisch angepasst werden. Angreifer können also Erwähnungen von ZIP-Dateien etwa in Forenbeiträgen mit entsprechender Reichweite ausnutzen, um arglose Benutzer auf ihre Webseite zu locken. Twitter wie auch die diversen Google-Webseiten etwa wandeln entsprechende Textstellen bereits in Links um, die dann auf ZIP-Domains zeigen.
Raffiniert versteckte Domains
Seit der Einführung von Unicode in URLs tauchen regelmäßig sogenannte homographische Angriffe mit internationalen IDN-Domains auf. Durch den Austausch lateinischer Buchstaben durch ähnlich aussehende Zeichen in URLs können Benutzer die Echtheit einer Domain nicht immer zweifelsfrei bestimmen. Besonders oft kommen kyrillische, griechische oder hebräische Zeichen für diese Angriffe zum Einsatz. Häufig lautet ein Tipp gegen homographische Angriffe, die URLs händisch einzutippen. Leider ist dies so unpraktisch, dass am Ende doch die meisten im Alltag auf den echt aussehenden Link klicken.
Auch Links in HTML-E-Mails stehen immer wieder im Fokus von Awareness-Kampagnen, weil sich der Linktext komplett von der dahinterliegenden URL unterscheiden kann. Auch das ist nicht immer ersichtlich, wobei einige Mailprogramme die Benutzer inzwischen darauf hinweisen, wenn die aufgerufene Domain sich von der angezeigten URL unterscheidet.
Im Fall der ZIP-Domains entsteht nun eine neue, aber durchaus ähnliche Gefahr. Die verwendeten Domainnamen in den URLs können nämlich durchaus echt sein, während sich die eigentlich angefragte Domain aber am Ende der URL versteckt – getarnt als vermeintlicher Dateiname eines Archivs. Bereits im Vorspann zu diesem Artikel ist Ihnen vermutlich das @-Zeichen in der URL aufgefallen. Dieses ist in Domains eher selten zu finden und dient eigentlich dazu, einen Benutzernamen samt Passwort bereits beim Aufruf der URL mitzugeben.
Die Adresse "https://it-administrator.de/ security-tipp/@Heft-08-2023.zip" kombiniert die angegebenen Angriffsszenarien. Der Benutzername lautet "https" und das Passwort "//it-administrator.de/security-tipp/". Allerdings müssen hier, damit die gängigen Browser nicht den erkannten Pfad höher priorisieren als das @-Zeichen, die Slashes durch gleich aussehende Unicode-Varianten ersetzt werden. Natürlich könnten diese auch einfach außen vor bleiben, wodurch die Fake-URL jedoch weniger echt aussieht. Probieren Sie einmal die beiden folgenden URLs in Ihrem Browser aus:
https://microsoft.com/@it-administrator.de
 
microsoft.com@it-administrator.de
Während Sie bei der Eingabe der ersten URL vermutlich korrekterweise auf "microsoft.com" landen, werden Sie bei der zweiten URL zumindest im Firefox-Browser auf den Umstand hingewiesen, dass Sie sich gegenüber einer Webseite authentisieren, die keiner Authentisierung bedarf. Das ist zumindest eine in vielen Fällen hilfreiche Warnung. Fragt der Webserver eine Authentisierung an, zeigen die Browser zumindest noch einen entsprechenden Hinweis an. Ob jedoch alle Nutzer diese Warnung richtig verstehen, bleibt abzuwarten. Google Chrome hingegen winkt die vermeintliche Authentifizierung einfach ohne weitere Hinweise an den Server durch.
Erste Angriffe in der Praxis
Sicherheitsforscher haben bereits nach kurzer Zeit erste Domains ausgemacht, mit denen Angreifer auf Phishing-Tour gehen. So wurden etwa "microsoft-office.zip" und "microsoft-office365.zip" registriert und beide zeigten zum Zeitpunkt der Erstellung dieses Artikels einen vermeintlichen Microsoft-Logindialog an. Das veranschaulicht, wie schnell Cyberkriminelle neue Wege adaptieren, um an gültige Zugangsdaten zu gelangen.
Um Benutzer gegen mögliche Angriffe auf Basis der neuen Domains zu wappnen, gilt es vor allem, diese aufzuklären und über die Gefahren zu informieren. Die bereits bekannten Konzepte im Kampf gegen Phishing lassen sich analog auch in diesen Fällen einsetzen. Im Unterschied zu homographischen Angriffen lässt sich das @-Zeichen in der Adresszeile grundsätzlich einfacher erkennen als lateinische Buchstaben imitierende Unicode-Zeichen.
Allerdings existieren auch hier Tricks, mit denen Angreifer das @-Zeichen verbergen können. In HTML-E-Mails lässt sich die dargestellte Breite des Zeichens nämlich verringern, zum Beispiel auf einen Pixel. So kann ein Benutzer das Sonderzeichen in der sonst vollständig sichtbaren URL nicht erkennen. Warnungen durch das Anzeigeprogramm wird es aber nicht geben, denn die angezeigte URL stimmt ja mit der hinterlegten Webadresse überein.
Eine weitere, durchaus effektive Sicherheitsmaßnahme wäre es, die Auflösung aller ZIP-Domains gleich komplett zu verhindern. Damit kontrollieren Sie natürlich nicht die Interpretation der URLs in Anzeigeprogrammen, aber Sie unterbinden den tatsächlichen Zugriff auf die dahinterliegenden schadhaften Domains. Bisher konnte bereits die BIT-Domain durch großflächige Sperrung als Quelle illegaler Aktivitäten mehr oder weniger aus der Welt geschafft werden.
Für einzelne Fälle lassen sich benötigte Domains natürlich über eine Whitelist freigeben. Im Übrigen gibt es auch öffentliche DNS-Resolver, die auf Wunsch homographisch manipulierte Domains nicht auflösen und unter anderem gefährliche Toplevel-Domains, erst kürzlich registrierte oder auch geparkte Domains sperren – egal, ob diese bereits durch Angriffe aufgefallen sind oder nicht. NextDNS sowie dessen europäischer Ableger dns0.eu wären an dieser Stelle beispielhaft zu nennen.
Gekommen um zu bleiben
Google dürfte auch nach der lautstarken Kritik die neue ZIP-Domain nicht aufgeben, zu lukrativ ist das Geschäft mit freien und ansprechenden Domainnamen. Neben all der Kritik und den Sorgen der Experten gibt es aber auch Stimmen, die das realistische Potential für Phishing durch die MOV- und ZIP-Domains für nicht größer erachten als für alle anderen Domains.
Natürlich lassen sich eingehende E-Mails mit entsprechenden Filtern und regulären Ausdrücken nach URLs filtern, in denen das @-Zeichen oder ZIP-Domains allgemein auftauchen. Damit lassen sich wahrscheinlich viele auf diese Domains angepasste Phishing-Versuche sinnvoll aussortieren.
Obwohl Phishing nicht komplett zu verhindern ist, lassen sich die Folgen von Angriffen durchaus eindämmen. Gängige IT-Security-Richtlinien sehen längst vor, Benutzerpasswörter regelmäßig auf ihr Vorkommen in Datenleaks zu überprüfen. Spezialisierte Dienstleister verhindern Kontoübernahmen auf Basis geleakter Logindaten oder anhand von Heuristiken und Mustern von Zugriffen. Und nicht zuletzt schützt freilich der großflächige Einsatz von Zweifaktor-Authentifizierung im Unternehmen.
Fazit
Cyberkriminelle suchen stets nach neuen Wegen, um arglose Nutzer auf ihre Webseiten zu locken. Da kommen Googles neue Toplevel-Domains gerade recht. Die Aufmerksamkeit, die der Internet­riese mit dem Angebot der MOV- und ZIP-Domains erfährt, trägt hoffentlich dazu bei, IT-Verantwortliche wie Nutzer über die möglichen Gefahren aufzuklären und die Risiken durch Phishing noch einmal in den Unternehmen zu thematisieren. Dafür hat der Security-Tipp in diesem Monat die befürchteten Angriffe aufgearbeitet.
Nüchtern betrachtet, werden diese Domains vermutlich genau in dem Maße durch Kriminelle missbraucht wie alle anderen TLDs auch und damit das grundsätzliche Risiko nicht maßgeblich erhöhen. Ein weiteres, nicht unbedingt notwendiges Einfallstor, das IT-Verantwortliche und User fortan im Auge behalten müssen, hat sich dadurch jedoch aufgetan.
(dr)