Von Google gehostete bösartige Anzeige leitet auf gefälschte Keepass-Seite, die echt aussieht
(arstechnica.com)- Eine Google-Anzeige, die sich als Keepass tarnt, nutzt die Gewohnheit aus, Suchanzeigen und offiziellen Websites zu vertrauen, und kann selbst sicherheitsbewusste Nutzer auf eine gefälschte Seite lotsen
- Nach dem Klick erscheint in der Adresszeile ķeepass[.]info, tatsächlich ist die Domain jedoch als xn--eepass-vbb[.]info in Punycode kodiert und verbreitet die Malware FakeBat
- Die Anzeige wurde von Samstag bis Mittwoch ausgespielt, als Werbetreibender war Digital Eagle angegeben, dessen Identität laut Google verifiziert wurde
- Google-Anzeige, legitim wirkende URL und ein gültiges TLS-Zertifikat werden zusammen eingesetzt, sodass sich allein anhand der Adresszeile nur schwer erkennen lässt, ob es sich um eine Nachahmung handelt
- Gibt man ķeepass[.]info in allen fünf großen Browsern ein, landet man auf der Phishing-Seite; bei Verdacht sollte man die URL in einem neuen Tab direkt eingeben oder den Inhaber des TLS-Zertifikats prüfen
Kombination aus Google-Anzeige und Keepass-Imitationsseite
- Bei Google wurde eine bösartige Anzeige geschaltet, die wie eine Keepass-Anzeige aussieht
- Die Anzeige tarnt sich als Werbung für den Open-Source-Passwortmanager Keepass
- Nutzer können ihr leichter vertrauen, weil es sich um eine Google-Anzeige handelt und bekannt ist, dass Google Anzeigen prüft
- Nach dem Klick wird in der Adresszeile ķeepass[.]info angezeigt, was wie die echte Keepass-Seite aussieht
- Die tatsächliche offizielle Keepass-Website ist keepass.info
Ähnliche Domain mit Punycode
- Das in der Adresszeile sichtbare ķeepass[.]info ist tatsächlich eine kodierte Darstellung von xn--eepass-vbb[.]info
- Diese Website verbreitet eine Malware-Familie, die als FakeBat verfolgt wird
- Für die Täuschung wird die Kodierungsmethode Punycode verwendet
- Punycode ermöglicht es, Unicode-Zeichen als standardisierten ASCII-Text darzustellen
- Hier wird ein Zeichen verwendet, das wie ein
kmit einem kleinen kommaartigen Zeichen darunter aussieht
- Da sogar ein gültiges TLS-Zertifikat vorhanden ist, wirkt die Seite beim Blick auf die Adresszeile leicht wie eine legitime Website
Informationen zur Anzeigen-Transparenz und Googles Maßnahme
- Im Google Ad Transparency Center ist angegeben, dass die Anzeige von Samstag bis Mittwoch lief
- Als zahlende Organisation wird Digital Eagle genannt
- Auf der Transparenzseite erscheint Digital Eagle als ein von Google identitätsgeprüfter Werbetreibender
- Ein Google-Sprecher erklärte später per E-Mail, dass die Anzeige gemäß den Unternehmensrichtlinien entfernt wurde
Analyse von Malwarebytes
- Jérôme Segura, Leiter Threat Intelligence bei Malwarebytes, fasst den Ablauf als einen Betrug in zwei Schritten zusammen
- Zuerst werden Nutzer durch eine völlig legitim wirkende Google-Anzeige getäuscht
- Danach werden sie ein weiteres Mal durch eine ähnliche Domain getäuscht, die wie eine legitime Website aussieht
- Malwarebytes veröffentlichte den Betrug in einem Beitrag vom Mittwoch
- Die Kombination aus Google-Anzeige und einer Website, deren URL fast identisch aussieht, erzeugt einen starken Imitationseffekt
Frühere bösartige Fälle mit Punycode
- Betrugsmaschen mit missbräuchlich verwendetem Punycode gibt es schon seit Langem
- Vor zwei Jahren lockten Betrüger Nutzer über Google-Anzeigen auf eine Website, die fast identisch mit brave.com aussah
- Diese Seite verteilte eine gefälschte, bösartige Version des Browsers
- 2017 machte ein Web-Application-Entwickler mit einer Proof-of-Concept-Seite, die wie apple.com aussah, die Punycode-Technik weithin bekannt
Wie Nutzer dies überprüfen können
- Es gibt keine sichere Methode, bösartige Google-Anzeigen oder Punycode-kodierte URLs zuverlässig zu erkennen
- Gibt man ķeepass[.]info in den fünf wichtigsten Browsern ein, landet man in allen Fällen auf der Nachahmungsseite
- In verdächtigen Fällen kann man einen neuen Browser-Tab öffnen und die URL direkt eingeben
- Bei langen URLs ist das direkte Eintippen nicht immer praktikabel
- Eine weitere Möglichkeit ist die Prüfung des TLS-Zertifikats, um festzustellen, ob die in der Adresszeile angezeigte Website mit dem Inhaber des Zertifikats übereinstimmt
1 Kommentare
Meinungen auf Hacker News
Die Identität von Digital Eagle hat Google natürlich überprüft. Googles Identitätsprüfung läuft über Bezahlung: Wer zahlt, gilt als verifiziert.
Auch die Stelle „Ein Google-Sprecher antwortete nicht sofort auf eine E-Mail“ wirft Fragen auf. Ich weiß nicht, ob bei Google überhaupt echte Menschen auf E-Mails antworten, und seit über 10 Jahren habe ich keine Antwort gesehen. Selbst wenn man Phishing und Spam meldet, ist fraglich, ob tatsächlich etwas bearbeitet wird.
Ehrlich gesagt sollte die Welt sich inzwischen von Google lösen. Seit mindestens zwei Jahren ist es kaum noch sicher als Suchmaschine zu nutzen.
Nachdem Kunden über Google-Anzeigen auf Phishing-Websites geleitet wurden, habe ich beschlossen, die folgenden Domains in allen von mir verwalteten Netzwerken zu sperren:
googlesyndication.com
googleadservices.com
googletagservices.com
googletagmanager.com
google-analytics.com
Googles Stärke wurde über Jahre hinweg Stück für Stück kaputtgemacht. Bei Windows ist es ähnlich: Marketing und Werbung ruinieren ein eigentlich halbwegs gutes Produkt.
Dass solche Anzeigen durchkommen, scheint einem ähnlichen Muster zu folgen. Man verlässt sich zu einem großen Teil auf kollektive Meldungen, und der Link „Problem melden“ dürfte einer der wichtigsten Mechanismen sein, um schlechte Anzeigen herauszufiltern. Wenn mehr davon durchkommt, könnte das ein Zeichen dafür sein, dass zu wenige Menschen Zeit in Meldungen investieren und das Gleichgewicht dieses Crowd-Reporting-Ansatzes kippt.
Das war wirklich eine andere Zeit.
Wenn man namecheap eine bösartige Website meldet, bleibt sie manchmal monatelang online. Die sind auch schlecht, aber bei der Bearbeitung von Abuse-Meldungen gibt es viele, die noch schlimmer sind. Google könnte es ebenfalls besser machen, ist in der Praxis aber ziemlich ordentlich.
Dieser Fall ist allerdings ein weiterer Grund, warum alle Werbung blockieren sollten. Adblocking macht alle sicherer.
Werbevermittler sollten für betrügerische Anzeigen teilweise haftbar gemacht werden, oder Werbung sollte streng an echte Identitäten gebunden werden – oder beides. Ich bin kein Fan davon, allgemeinen Publikationen eine Impressumspflicht nach deutschem Vorbild aufzuerlegen, aber bei Werbung ist es etwas anderes.
Werbung drängt sich nämlich aggressiv auf fremden Websites auf, und zwar auf eine Weise, die Nutzer nicht kontrollieren können. Abgesehen davon, Werbung komplett zu blockieren, gibt es keine Option.
Wenn man auf die Ecke einer Anzeige klickt, sollte man die Firmennummer und Geschäftsadresse des verantwortlichen Unternehmens sehen können. „Ausländische“ Anzeigen aus anderen Ländern sollten noch strenger geprüft werden. Denn wenn es Betrug ist, ist es selbst ohne Anonymität deutlich schwieriger, Abhilfe zu bekommen.
Dem Artikel zufolge ist ķeepass[.]info, auch wenn es in der Adressleiste so aussieht, tatsächlich eine kodierte Schreibweise für xn--eepass-vbb[.]info und verteilte die Malware FakeBat. In Kombination mit einer Website, deren URL fast identisch mit der Google-Anzeige war, wurde daraus eine nahezu perfekte Täuschung.
2017 hieß es, Google Chrome 59 habe Punycode-Phishing-Angriffe behoben. Beispiel: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
Vielleicht hat ein hartnäckiger Krimineller den Chromium-Quellcode analysiert, der Punycode prüft, und eine Lücke gefunden, die
ķstattkzulässt.https://www.xn--80ak6aa92e.com/ --> die gefälschte „аррӏе.com“ zeigt eine Phishing-Warnung an
https://xn--eepass-vbb.info/ --> die gefälschte „ķeepass.info“ zeigt keine Warnung an
ķ(U+0137) gehört zu den lateinischen Buchstaben [2], daher dürfte „ķeepass.info“ nicht von der Prüfung auf Mixed-Script Confusables erfasst werden.Auch in der Liste der Glyphen für „Whole-Script Confusables“ [3] ist
ķnicht zu sehen. Sollte es dort aufgenommen werden? Im Abschnitt zu griechischen Buchstaben dieser Datei gibt es einen Kommentar sinngemäß, dass Varianten wie „ά, έ, ή, ί“ ignoriert werden; möglicherweise gibt es also eine Regel, nach der Zeichen mit Akzenten generell nicht als ähnliche Zeichen gelten.Falls das so ist, ist es bis zu einem gewissen Grad nachvollziehbar. Wenn zum Beispiel Domainnamen mit
éin Punycode-Form angezeigt würden, wären französische Nutzer ziemlich enttäuscht.[1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
[2] https://www.compart.com/en/unicode/U+0137
[3] https://source.chromium.org/chromium/chromium/src/+/main:com...
Schließlich würde man ja auch nicht auf „göogle.com“ gehen, oder?
Während Google auf YouTube Krieg gegen Adblocker führt, zeigt das Unternehmen zugleich wieder einmal, dass man ihm die Verantwortung für sichere Werbung überhaupt nicht anvertrauen kann.
Außerdem zeigt es kleinen Kindern Kriegsvideos als Werbung.
Besonders gefallen mir die dummen Anzeigen für klobige Ladegeräte, die das „Telefon magisch defragmentieren“, und Anzeigen für Micro-Ghost-Pistolen.
Ich halte mich für einigermaßen sicherheitsbewusst, aber ich weiß nicht, ob mir das aufgefallen wäre. Ein weiterer Grund, uBO ohne Reue zu verwenden.
„Das Unternehmen erklärte, betrügerische Anzeigen würden nach einer Meldung so schnell wie möglich umgehend entfernt.“
Wenn es Teil der Lösung sein wollte, hätte es die Anzeigen geprüft, bevor sie veröffentlicht werden. Aber das skaliert nicht, also werden Menschen betrogen, die Gesellschaft nimmt Schaden, und Google verdient untragbar viel Geld. Ein ziemlich fairer Deal...?
Wie mehrere Leute gesagt haben, ist das Blockieren von Internetwerbung Teil einer gesunden und sicheren Internetnutzung.
Moderation ist ein schwer zu lösendes Problem. Wir wollen Bequemlichkeit bei dem, was richtig ist, und starke Blockierung bei allem, was auch nur ein bisschen verdächtig ist. Es wird zwangsläufig hier und da etwas durchrutschen.
Der Kernpunkt hier ist, ob das ein Ausnahmefall ist oder ob es ein auffälliges Problem mit vielen solchen Freigaben bei Google Ads gibt; der Artikel liefert darauf keine Antwort.
Vor einem Jahr gab es dasselbe Problem, und auch das Präfix des Domainnamens sieht gleich aus.
https://www.bleepingcomputer.com/news/security/google-ad-for...
Wenn ich wegen Know Your Customer (KYC) alle möglichen Verfahren durchlaufen muss, fände ich es gut, wenn Unternehmen in solchen Fällen, die das Leben erschweren, dasselbe tun müssten.
Das gilt für irreführende Werbung, Spam-Anrufe, gefälschte Produkte auf Plattformen wie Amazon und sogar E-Mails.
Alles scheint darauf ausgelegt zu sein, dass jeder Betrüger der Welt mich zu 100 % erreichen kann, während die Unternehmen, die das ermöglichen, für mich auf keine Weise erreichbar sind.
Das ist eine ziemlich clevere Masche. Hätte ich den Link in einem Kontext gesehen, der nicht als Anzeige gekennzeichnet war, wäre ich vielleicht auch darauf hereingefallen.
Bei üblichen Unicode-Ersetzungen habe ich gelernt, sie zu erkennen, weil die Zeichen wenigstens ein bisschen seltsam aussehen, aber in diesem Fall war es anders. Selbst als der Pfeil darauf zeigte, habe ich den Punkt unter dem
knicht gesehen; für meine Augen sah er wie ein kleines Staubkorn oder Schmutz auf dem Monitor aus.Davon gibt es auf dem Bildschirm eine Menge, und das visuelle System blendet solches Rauschen gut aus.
Es ist kein Staub, der Licht blockiert, wie ein schwarzer Pixel, sondern ein leuchtender weißer Pixel. Ich hatte Dark Mode bisher nie als Sicherheitsmaßnahme betrachtet :)
Punycode hat schon von Anfang an einen fragwürdigen Nutzen. Das ist zwar vor allem aus Sicht von Nutzern des lateinischen Alphabets gedacht, aber die vielen Websites in nichtlateinischen Schriftsystemen, die ich in den letzten zehn Jahren gesehen habe, nutzten alle normale ASCII-Domains.
Auch bei Benutzernamen auf Websites, die Unicode erlauben, sieht man, dass Nutzer nichtlateinischer Schriften meist Benutzernamen im lateinischen Alphabet verwenden.
In der Praxis wird Punycode fast ausschließlich für Spam-Domains genutzt. Auch Domains in kyrillischen oder asiatischen Sprachräumen verwenden meistens kein Punycode.
Ich verstehe das Konzept von Punycode und finde es technisch beeindruckend, aber bei Domains ist es zu einem riesigen Phishing-Problem geworden.
Selbst ich, der mehrere europäische Sprachen verwendet, brauche weniger als zehn Unicode-Zeichen, und tatsächlich sind sie jeweils immer noch 8-Bit-ISO-8859-15-Codes. Obwohl ich sie brauche, registrieren die meisten Websites nicht einmal Punycode-Domains, sondern verwenden eine verunstaltete ASCII-Version ihres Namens.
Als praktische Maßnahme sollten Browser den Nutzer beim ersten Eingeben einer URL mit Nicht-ASCII-Zeichen fragen, ob URLs in einer bestimmten Sprache erlaubt werden sollen. Schon wenn man nur ein oder zwei Sprachen zulässt, verringert sich für die meisten Nutzer die Angriffsfläche erheblich.
Zum Beispiel gehört asahi.com derzeit 朝日 (der Zeitung Asahi Shimbun), sodass Asahi town (旭) es nicht nutzen kann. Natürlich könnte man etwas wie asahi-town.co.jp verwenden, aber es gibt viele Ortsnamen Asahi mit anderen Schreibweisen (旭日, 朝陽, 浅緋 usw.).
Von all diesen eine willkürliche ASCII-Variante zu verlangen, ergibt keinen Sinn. Schon bei japanischen Ortsnamen ist es so, und dazu kommt noch das Überschneidungsproblem im gesamten Kulturraum der chinesischen Schriftzeichen.
Ob solche Domains tatsächlich registriert sind, ist eher ein Henne-Ei-Problem, und der oben beschriebene Kollisionsraum wird sich im ASCII-Alphabet wohl kaum sauber lösen lassen.
Dass westliche ASCII-Domains betrugsanfällig sind, ist ein Problem, aber man sollte auch nicht das Haus niederbrennen, um ein paar Wanzen loszuwerden.
Bei dedizierten Top-Level-Domains wie
.рфsehe ich Punycode an sich jedoch nicht als Problem. Eine Form wie кремль.рф finde ich zum Beispiel in Ordnung.Man könnte sagen, dass alles jenseits von ASCII verdächtig ist, aber Menschen, deren Muttersprache nicht Englisch ist, werden dem immer widersprechen.
Eine Möglichkeit, bösartige Anzeigen zu reduzieren, ist Transparenz. Jede Anzeige sollte die rechtlichen Kontaktdaten des Werbetreibenden enthalten, also Unternehmensname und Land.
Das wird das Problem nicht vollständig lösen, aber Verbraucher könnten Anzeigen dubioser osteuropäischer Unternehmen meiden. Für Sicherheitsforscher würde es leichter, bösartige Akteure zu verfolgen, und auch die Werbeplattform Google bekäme ein gewisses Maß an Verantwortung.
Facebook macht das bei politischer Werbung bereits, also ist es machbar.
Solange Regierungen sie nicht dazu zwingen oder das Risiko rechtlicher Haftung nicht zu groß wird, werden sie das nicht freiwillig tun.
Ist das nicht ein bisschen fremdenfeindlich?
[0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...