![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch eine beunruhigende Sicherheitsmeldung zum Feierabend: Ein russischer Spammer hat es geschafft, eine Domain Google.com zu registrieren. Nun versucht er \u00fcber Google Analytics Besucher auf seine Domain zu locken. Hier ein paar Informationen, warum das h\u00f6chst beunruhigend ist. <\/p>\n
<\/p>\n
Vermutlich kennt das jeder Internet-Nutzer, dass Leute versuchen, sich Vertipper-Domains zu greifen. F\u00e4llt eigentlich nicht auf. Und bei Phishing-Versuchen greifen die Kriminellen auf vielf\u00e4ltige Tricks zur\u00fcck, um die wahre URL zu verschleiern. Im Browser oder im E-Mail-Client wird aber beim Zeigen auf einen Link die volle Adresse eingeblendet und \"F\u00e4lschungen\" lassen sich leicht erkennen. Aber das ist jetzt pass\u00e9!<\/p>\n
Man kann URLs in der Schreibweise modifizieren, so dass das auf den ersten Blick nicht auff\u00e4llt. Beispielsweise w\u00e4re g00gle.de so eine URL, wo ich das Zeichen 0 durch eine Null ersetzt habe. Auf den ersten Blick kann niemand erkennen, dass das keine Google-URL ist. <\/p>\n
Nun ist es einem Spammer gelungen, eine Domain mit dem Namen \u0262oogle.com (bitte nicht aufrufen) zu registrieren. Die URL \u0262oogle.com sieht genau wie google.com aus \u2013 und wer diese URL im Browser eintippt, landet bei Google (Gro\u00df-\/Kleinschreibung im Domainnamen ist egal). Ich verlinke mal nicht direkt auf die Spam-Seite, da ich nicht wei\u00df, ob Google mich abstraft (bei futurezone.at<\/a> ist die betreffende URL \u00fcber die \u00dcberschrift abrufbar). Wer die URL aber kopiert und im Browser abruft, bekommt (momentan) folgende Webseite zu sehen. <\/p>\n Es kann aber auch andere Umleitungen geben, wie winfuture.at dokumentiert<\/a>. Ihr kommt bei Eingabe von Google.com nicht auf die obige Umleitungsseite? Der Trick besteht darin, dass G in der URL als Unicode-Zeichen 0262 zu codieren. Das wird als verkleinerter Gro\u00dfbuchstaben G angezeigt. Die Details sind auf der Webseite nalyticsedge.com<\/a> dokumentiert. <\/p>\n Das Problem bei diesem Ansatz: Offenbar hat ein Domain-Registrar richtig gepennt und dem Spammer erm\u00f6glicht, eine Domain Google.com zu registrieren, obwohl er nicht Google oder Alphabeth ist. Nun braucht man nur den Gedanken weiter zu spinnen. <\/p>\n Durch die International Domain Name-Konvention k\u00f6nnen mittlerweile beliebige Unicode-Zeichen in Domain-Namen auftreten. Ein Krimineller k\u00f6nnte eine solche Domain mit Unicode-Zeichen mit dem Namen anderer, bekannter Institutionen (z.B. Banken) registrieren. Dann reicht es, die betreffenden Links per Mail zu verschicken, um die Empf\u00e4nger auf die Domain zu locken. An Hand der URL ist nicht erkennbar, dass sich der Nutzer auf einer gef\u00e4lschten Webseite befindet. <\/p>\n Nur noch die Abfrage der https-Zertifikate w\u00fcrde einen Hinweis auf die m\u00f6glicherweise falsche Identit\u00e4t der Webseite liefern. Aber einmal pr\u00fcft das kaum ein Benutzer. Zum Zweiten ist es nicht ausgeschlossen, dass Kriminelle an gef\u00e4lschte Zertifikate gelangen, und diese so aussehen lassen, als ob die betreffende Instanz (Bank, Firma etc.) dahinter steht. <\/p>\n","protected":false},"excerpt":{"rendered":" Noch eine beunruhigende Sicherheitsmeldung zum Feierabend: Ein russischer Spammer hat es geschafft, eine Domain Google.com zu registrieren. Nun versucht er \u00fcber Google Analytics Besucher auf seine Domain zu locken. Hier ein paar Informationen, warum das h\u00f6chst beunruhigend ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[405,4328,425],"class_list":["post-184062","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-google","tag-sicherheit","tag-spam"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=184062"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184062\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=184062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=184062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=184062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Fake](\"https:\/\/i.imgur.com\/p2bnd2F.jpg\"\/ "\\"Fake")
<\/p>\nDas Problem bzw. das jetzt sichtbar gewordene Risiko<\/h3>\n