Du bist nicht angemeldet.

Nomad

Profi

  • »Nomad« ist der Autor dieses Themas

Beiträge: 1 256

Registrierungsdatum: 8. August 2011

Wohnort: 74388

  • Private Nachricht senden

1

Freitag, 21. April 2017, 09:37

Phishing für Fortgeschrittene mit Punycode

Moin,

gestern diesen Artikel gefunden: http://hackaday.com/2017/04/19/you-think…ant-be-phished/

Kurz erklärt, auch für Leute, die nix mit Computern machen:
In der Computerwelt gibt es viele verschiedene Zeichensätze, z.B. ASCII, ANSI oder das aktuelle und nahezu überall verwendete UTF-8.
Letzteres ist quasi auf jedem üblichen Computer vorhanden und beinhaltet neben den für uns üblichen lateinischen Buchstaben auch solche Späße wie Umlaute oder auch kyrillische, chinesische oder andere interessanten Zeichensätze.
Was jetzt nicht so durchdacht ist, ist die Tatsache, dass manche Zeichen dort mehrfach vorhanden sind. Z.B. gibt es dort das lateinische "a" und das kyrillische "a", welche aber identisch aussehen.
Diese zwei Zeichen sind für den Computer jedoch vollkommen unterschiedlich.

Das resultiert dann in solchen Möglichkeiten: https://www.apple.com/ vs. https://www.аррӏе.com/
Diese zwei Links sehen für uns vollkommen identisch aus. Sie funktionieren auch beide.
Der zweite führt aber nicht auf die Apple Seite (keine Sorge, die Seite ist trotzdem Safe, da wird das nochmal erklärt)
Dabei ist die echte URL hinter dem zweiten link https://www.xn--80ak6aa92e.com/
Sie hat ein gültiges Zertifikat von Let's Encrypt, wird also fleißig mit einem grünen Schlösschen angezeigt.

Firefox z.B. zeigt den Link vollkommen normal an.
Mit dem Internet Explorer kommt man auch darauf, aber nur, wenn man die dazu passende Sprache auf dem System installiert hat, in dem Fall wäre das Russisch für den Kyrillischen Zeichensatz.
Chrome wurde schon gepatcht, der stellt die URL richtig dar.

Wenn ihr Firefox benutzt, kann ich empfehlen, in der Adressleiste "about:config" einzugeben, da kommt die Konfigurationsseite für Fortgeschrittene.
Dort hats ein Suchfeld, da könnt ihr "punycode" eingeben. Die eine option, die dann angezeigt wird doppelklicken um den Wert von false auf true zu setzen.
Danach zeigt auch der Firefox die echte Adresse hinter https://www.аррӏе.com/ an.

Gruß
Andreas

pepino

Schüler

Beiträge: 99

Registrierungsdatum: 10. Juli 2016

Wohnort: Heinsberg

  • Private Nachricht senden

2

Freitag, 21. April 2017, 11:04

Danke für die Info!

Ich schau auch immer auf die URL, somit hätte ich auch falsch gelegen :pinch: .

3

Freitag, 21. April 2017, 11:15

Sowas ist immer interessant zu lesen. :thumbsup:
Ich benutze seit Jahren am PC nur noch Opera. In meiner Firefox-Zeit hatte sich mein Rechner ab und an einen Schnupfen eingefangen. :whistling: Mit Opera nie.
Ahoi

4

Freitag, 21. April 2017, 12:16

Very interessting - besten Dank für den Hinweis. :)
Impreza 2.5 WRX Wagon MY07 ----> 07/11 - 07/15
Legacy 3.0R spec.B Wagon MY07 --> 07/15 - 09/21


Impreza 2.0 WRX Wagon MY04 ----> 10/21 - ??????
WRX 2.0 Sedan (CDM) MY18 -------> 05/22 - ??????

Resor77

Mitglied im GT-Club

Beiträge: 634

Registrierungsdatum: 9. November 2014

Wohnort: Bonn

  • Private Nachricht senden

5

Freitag, 21. April 2017, 12:34

Ich nutze Chrome.
Der zeigt dir bei solchen Seiten schon vor betreten meist einen Warnhinweis und lässt dich nicht auf die Seite.

Andererseits: ich weiß ja auf was für Seiten ich will.
Wenn ich irgendwelche Mails bekomme schaue ich da schon sehr genau. Klassiker bei Phishing ist nach wie vor Paypal.
Einmal wars täuschend echt. Haken war nur in der E-Mail stand eine Adresse die schon 10 Jahre alt ist.

Kleiner Tipp nebenbei bei E-Mails wo Ihr euch nicht sicher seid: immer auf die Adresse des Absenders klicken! Oft wird zwar zB "noreply@paypal.de" angezeigt, klickt man dann aber drauf, steht dort dann zB sdcjdsgf@paypale.de etc.
Car Mad Germany
Track: MY06 STI Spec C V-Limited SOLD
Track: Mercedes A45 AMG

Nomad

Profi

  • »Nomad« ist der Autor dieses Themas

Beiträge: 1 256

Registrierungsdatum: 8. August 2011

Wohnort: 74388

  • Private Nachricht senden

6

Freitag, 21. April 2017, 12:44

Ich nutze Chrome.
Der zeigt dir bei solchen Seiten schon vor betreten meist einen Warnhinweis und lässt dich nicht auf die Seite.


Erst seit zwei-drei Tagen, das kam erst beim letzten Patch dazu, dass er da meckert.

Ich hatte schon alles mögliche im Spam ordner gesehen. Paypal und Amazon kommen regelmäßig, bei Amazon ist sogar meine uralte Anschrift und die noch ältere Telefonnummer drin.
Keine Ahnung, wer da Daten verloren hat.

Adresse selber tippen ist natürlich am besten, da weiß man ja, was man eingibt.
Aber manchmal gehts nicht anders ohne großer Anstrengung, links beim Passwort-Reset abtippen dauert.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Nomad« (21. April 2017, 12:49)


tnp

Mitglied im GT-Club

Beiträge: 3 016

Registrierungsdatum: 7. September 2007

Wohnort: Benken, ZH

  • Private Nachricht senden

7

Freitag, 21. April 2017, 14:27


Kleiner Tipp nebenbei bei E-Mails wo Ihr euch nicht sicher seid: immer auf die Adresse des Absenders klicken! Oft wird zwar zB "noreply@paypal.de" angezeigt, klickt man dann aber drauf, steht dort dann zB sdcjdsgf@paypale.de etc.

Amen. Immer die Absenderadresse pruefen. Besonders wenn man in der mail aufgefordert wird schnell zu handeln.

Das faengt locker 98% der phishingmails weg. Eher mehr.

RedBull

Mitglied im GT-Club

Beiträge: 723

Registrierungsdatum: 21. April 2015

  • Private Nachricht senden

8

Freitag, 21. April 2017, 19:37


Kleiner Tipp nebenbei bei E-Mails wo Ihr euch nicht sicher seid: immer auf die Adresse des Absenders klicken! Oft wird zwar zB "noreply@paypal.de" angezeigt, klickt man dann aber drauf, steht dort dann zB sdcjdsgf@paypale.de etc.

Amen. Immer die Absenderadresse pruefen. Besonders wenn man in der mail aufgefordert wird schnell zu handeln.

Das faengt locker 98% der phishingmails weg. Eher mehr.
Na das passt ja. Hatte heute eine Email von Paypal mit dem richtigen Absender "service@paypal..." :gruebel: Das hat mich etwas stutzig gemacht. Mal abgesehen davon, dass es eh im Spamordner gelandet ist, hatte ich die Sicherheit, dass die Mail an meine zweite Email-Adresse ging, die gar nichts mit Paypal zutun hat.
Dank des Threads weiß ich jetzt auch, wie sie es mit dem vermeintich richtigen Absender gemacht haben, danke dafür!

Knuffy

Mitglied im GT-Club

Beiträge: 197

Registrierungsdatum: 23. Februar 2014

Wohnort: Dormagen

  • Private Nachricht senden

9

Freitag, 21. April 2017, 19:49

Vielen Dank, ja, auch wenn ein versierter Benutzer es besser wissen sollte.
Immer wieder Danke für solche Hinweise.
Jeder lernt immer etwas dazu.
Gruß Oli :zunge:

10

Samstag, 22. April 2017, 08:19


Dank des Threads weiß ich jetzt auch, wie sie es mit dem vermeintich richtigen Absender gemacht haben, danke dafür!



Solche Mails bitte auch direkt weiterleiten und dann erst löschen. In dem Fall an spoof@paypal.de bzw. spoof@paypal.com. Gibt auch noch stop-spoofing@amazon.com etc.
Greetz
Oliver

WRX STI V1 VAF MY 2016 - verkauft

theissen

Anfänger

Beiträge: 4

Registrierungsdatum: 24. Mai 2017

Wohnort: 44135 Dortmund

  • Private Nachricht senden

11

Mittwoch, 24. Mai 2017, 11:05

thx

Ähnliche Themen