1 Punkte von GN⁺ 2023-10-20 | 1 Kommentare | Auf WhatsApp teilen
  • Eine Google-Anzeige, die sich als Keepass tarnt, nutzt die Gewohnheit aus, Suchanzeigen und offiziellen Websites zu vertrauen, und kann selbst sicherheitsbewusste Nutzer auf eine gefälschte Seite lotsen
  • Nach dem Klick erscheint in der Adresszeile ķeepass[.]info, tatsächlich ist die Domain jedoch als xn--eepass-vbb[.]info in Punycode kodiert und verbreitet die Malware FakeBat
  • Die Anzeige wurde von Samstag bis Mittwoch ausgespielt, als Werbetreibender war Digital Eagle angegeben, dessen Identität laut Google verifiziert wurde
  • Google-Anzeige, legitim wirkende URL und ein gültiges TLS-Zertifikat werden zusammen eingesetzt, sodass sich allein anhand der Adresszeile nur schwer erkennen lässt, ob es sich um eine Nachahmung handelt
  • Gibt man ķeepass[.]info in allen fünf großen Browsern ein, landet man auf der Phishing-Seite; bei Verdacht sollte man die URL in einem neuen Tab direkt eingeben oder den Inhaber des TLS-Zertifikats prüfen

Kombination aus Google-Anzeige und Keepass-Imitationsseite

  • Bei Google wurde eine bösartige Anzeige geschaltet, die wie eine Keepass-Anzeige aussieht
  • Die Anzeige tarnt sich als Werbung für den Open-Source-Passwortmanager Keepass
  • Nutzer können ihr leichter vertrauen, weil es sich um eine Google-Anzeige handelt und bekannt ist, dass Google Anzeigen prüft
  • Nach dem Klick wird in der Adresszeile ķeepass[.]info angezeigt, was wie die echte Keepass-Seite aussieht
  • Die tatsächliche offizielle Keepass-Website ist keepass.info

Ähnliche Domain mit Punycode

  • Das in der Adresszeile sichtbare ķeepass[.]info ist tatsächlich eine kodierte Darstellung von xn--eepass-vbb[.]info
  • Diese Website verbreitet eine Malware-Familie, die als FakeBat verfolgt wird
  • Für die Täuschung wird die Kodierungsmethode Punycode verwendet
    • Punycode ermöglicht es, Unicode-Zeichen als standardisierten ASCII-Text darzustellen
    • Hier wird ein Zeichen verwendet, das wie ein k mit einem kleinen kommaartigen Zeichen darunter aussieht
  • Da sogar ein gültiges TLS-Zertifikat vorhanden ist, wirkt die Seite beim Blick auf die Adresszeile leicht wie eine legitime Website

Informationen zur Anzeigen-Transparenz und Googles Maßnahme

  • Im Google Ad Transparency Center ist angegeben, dass die Anzeige von Samstag bis Mittwoch lief
  • Als zahlende Organisation wird Digital Eagle genannt
  • Auf der Transparenzseite erscheint Digital Eagle als ein von Google identitätsgeprüfter Werbetreibender
  • Ein Google-Sprecher erklärte später per E-Mail, dass die Anzeige gemäß den Unternehmensrichtlinien entfernt wurde

Analyse von Malwarebytes

  • Jérôme Segura, Leiter Threat Intelligence bei Malwarebytes, fasst den Ablauf als einen Betrug in zwei Schritten zusammen
    • Zuerst werden Nutzer durch eine völlig legitim wirkende Google-Anzeige getäuscht
    • Danach werden sie ein weiteres Mal durch eine ähnliche Domain getäuscht, die wie eine legitime Website aussieht
  • Malwarebytes veröffentlichte den Betrug in einem Beitrag vom Mittwoch
  • Die Kombination aus Google-Anzeige und einer Website, deren URL fast identisch aussieht, erzeugt einen starken Imitationseffekt

Frühere bösartige Fälle mit Punycode

  • Betrugsmaschen mit missbräuchlich verwendetem Punycode gibt es schon seit Langem
  • Vor zwei Jahren lockten Betrüger Nutzer über Google-Anzeigen auf eine Website, die fast identisch mit brave.com aussah
    • Diese Seite verteilte eine gefälschte, bösartige Version des Browsers
  • 2017 machte ein Web-Application-Entwickler mit einer Proof-of-Concept-Seite, die wie apple.com aussah, die Punycode-Technik weithin bekannt

Wie Nutzer dies überprüfen können

  • Es gibt keine sichere Methode, bösartige Google-Anzeigen oder Punycode-kodierte URLs zuverlässig zu erkennen
  • Gibt man ķeepass[.]info in den fünf wichtigsten Browsern ein, landet man in allen Fällen auf der Nachahmungsseite
  • In verdächtigen Fällen kann man einen neuen Browser-Tab öffnen und die URL direkt eingeben
  • Bei langen URLs ist das direkte Eintippen nicht immer praktikabel
  • Eine weitere Möglichkeit ist die Prüfung des TLS-Zertifikats, um festzustellen, ob die in der Adresszeile angezeigte Website mit dem Inhaber des Zertifikats übereinstimmt

1 Kommentare

 
GN⁺ 2023-10-20
Meinungen auf Hacker News
  • Die Identität von Digital Eagle hat Google natürlich überprüft. Googles Identitätsprüfung läuft über Bezahlung: Wer zahlt, gilt als verifiziert.
    Auch die Stelle „Ein Google-Sprecher antwortete nicht sofort auf eine E-Mail“ wirft Fragen auf. Ich weiß nicht, ob bei Google überhaupt echte Menschen auf E-Mails antworten, und seit über 10 Jahren habe ich keine Antwort gesehen. Selbst wenn man Phishing und Spam meldet, ist fraglich, ob tatsächlich etwas bearbeitet wird.
    Ehrlich gesagt sollte die Welt sich inzwischen von Google lösen. Seit mindestens zwei Jahren ist es kaum noch sicher als Suchmaschine zu nutzen.
    Nachdem Kunden über Google-Anzeigen auf Phishing-Websites geleitet wurden, habe ich beschlossen, die folgenden Domains in allen von mir verwalteten Netzwerken zu sperren:
    googlesyndication.com
    googleadservices.com
    googletagservices.com
    googletagmanager.com
    google-analytics.com

    • Noch ehrlicher gesagt: Nach meinem Maßstab hat Googles Suchkompetenz ungefähr seit Ende der 2000er bis Anfang der 2010er nachgelassen. Früher konnte man einen Satz wortwörtlich eingeben und ihn finden; heute funktioniert nicht einmal mehr die Suche mit Anführungszeichen richtig.
      Googles Stärke wurde über Jahre hinweg Stück für Stück kaputtgemacht. Bei Windows ist es ähnlich: Marketing und Werbung ruinieren ein eigentlich halbwegs gutes Produkt.
    • Zu „Gibt es bei Google tatsächlich jemanden, der auf E-Mails antwortet?“: Google hat sich immer auf Dinge konzentriert, die skalierbar sind. Menschen, die Telefonate oder E-Mails beantworten, skalieren nicht, also gibt es keinen Kundensupport für Nutzer.
      Dass solche Anzeigen durchkommen, scheint einem ähnlichen Muster zu folgen. Man verlässt sich zu einem großen Teil auf kollektive Meldungen, und der Link „Problem melden“ dürfte einer der wichtigsten Mechanismen sein, um schlechte Anzeigen herauszufiltern. Wenn mehr davon durchkommt, könnte das ein Zeichen dafür sein, dass zu wenige Menschen Zeit in Meldungen investieren und das Gleichgewicht dieses Crowd-Reporting-Ansatzes kippt.
    • 2007 habe ich einmal einen Beitrag in einem Forum veröffentlicht, über den man mich persönlich identifizieren konnte. Im Forum wurde er gelöscht, blieb aber in der Zusammenfassung der Google-Suchergebnisse stehen. Ich bat Google per E-Mail um Löschung, und sie haben ihn tatsächlich entfernt; jemand schrieb sogar „done“ zurück.
      Das war wirklich eine andere Zeit.
    • Normalerweise gehöre ich eher zu denen, die Google kritisieren, aber wenn man Google viele Phishing-Meldungen schickt, werden zumindest bei Google gehostete Phishing-Seiten ziemlich schnell entfernt. Eine Antwort habe ich nie bekommen und ich gehe davon aus, dass alles automatisiert ist, aber es ist deutlich besser als bei anderen Hosting-Anbietern.
      Wenn man namecheap eine bösartige Website meldet, bleibt sie manchmal monatelang online. Die sind auch schlecht, aber bei der Bearbeitung von Abuse-Meldungen gibt es viele, die noch schlimmer sind. Google könnte es ebenfalls besser machen, ist in der Praxis aber ziemlich ordentlich.
      Dieser Fall ist allerdings ein weiterer Grund, warum alle Werbung blockieren sollten. Adblocking macht alle sicherer.
    • Ich frage mich, ob jemand schon Websites erlebt hat, die nach so einer Sperre nicht mehr funktionieren.
  • Werbevermittler sollten für betrügerische Anzeigen teilweise haftbar gemacht werden, oder Werbung sollte streng an echte Identitäten gebunden werden – oder beides. Ich bin kein Fan davon, allgemeinen Publikationen eine Impressumspflicht nach deutschem Vorbild aufzuerlegen, aber bei Werbung ist es etwas anderes.
    Werbung drängt sich nämlich aggressiv auf fremden Websites auf, und zwar auf eine Weise, die Nutzer nicht kontrollieren können. Abgesehen davon, Werbung komplett zu blockieren, gibt es keine Option.
    Wenn man auf die Ecke einer Anzeige klickt, sollte man die Firmennummer und Geschäftsadresse des verantwortlichen Unternehmens sehen können. „Ausländische“ Anzeigen aus anderen Ländern sollten noch strenger geprüft werden. Denn wenn es Betrug ist, ist es selbst ohne Anonymität deutlich schwieriger, Abhilfe zu bekommen.

  • Dem Artikel zufolge ist ķeepass[.]info, auch wenn es in der Adressleiste so aussieht, tatsächlich eine kodierte Schreibweise für xn--eepass-vbb[.]info und verteilte die Malware FakeBat. In Kombination mit einer Website, deren URL fast identisch mit der Google-Anzeige war, wurde daraus eine nahezu perfekte Täuschung.
    2017 hieß es, Google Chrome 59 habe Punycode-Phishing-Angriffe behoben. Beispiel: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
    Vielleicht hat ein hartnäckiger Krimineller den Chromium-Quellcode analysiert, der Punycode prüft, und eine Lücke gefunden, die ķ statt k zulässt.
    https://www.xn--80ak6aa92e.com/ --> die gefälschte „аррӏе.com“ zeigt eine Phishing-Warnung an
    https://xn--eepass-vbb.info/ --> die gefälschte „ķeepass.info“ zeigt keine Warnung an

    • In den zugehörigen Regeln für internationalisierte Domains von Chrome [1] scheinen die Erkennung von „Mixed-Script Confusables“ und „Whole-Script Confusables“ zentral zu sein.
      ķ (U+0137) gehört zu den lateinischen Buchstaben [2], daher dürfte „ķeepass.info“ nicht von der Prüfung auf Mixed-Script Confusables erfasst werden.
      Auch in der Liste der Glyphen für „Whole-Script Confusables“ [3] ist ķ nicht zu sehen. Sollte es dort aufgenommen werden? Im Abschnitt zu griechischen Buchstaben dieser Datei gibt es einen Kommentar sinngemäß, dass Varianten wie „ά, έ, ή, ί“ ignoriert werden; möglicherweise gibt es also eine Regel, nach der Zeichen mit Akzenten generell nicht als ähnliche Zeichen gelten.
      Falls das so ist, ist es bis zu einem gewissen Grad nachvollziehbar. Wenn zum Beispiel Domainnamen mit é in Punycode-Form angezeigt würden, wären französische Nutzer ziemlich enttäuscht.
      [1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
      [2] https://www.compart.com/en/unicode/U+0137
      [3] https://source.chromium.org/chromium/chromium/src/+/main:com...
    • Der erste „Punycode-Angriff“ nutzte kyrillische Buchstaben und ähnliche Zeichen, die von den „echten“ Buchstaben praktisch nicht zu unterscheiden waren. Vermutlich ging man davon aus, dass Nutzer Zeichen mit diakritischen Zeichen erkennen und meiden können, auch wenn sie schwer von Staub auf dem Bildschirm zu unterscheiden sind.
      Schließlich würde man ja auch nicht auf „göogle.com“ gehen, oder?
  • Während Google auf YouTube Krieg gegen Adblocker führt, zeigt das Unternehmen zugleich wieder einmal, dass man ihm die Verantwortung für sichere Werbung überhaupt nicht anvertrauen kann.
    Außerdem zeigt es kleinen Kindern Kriegsvideos als Werbung.

    • Ich melde ständig unangemessene, betrügerische oder offen illegale Anzeigen, und normalerweise sind sie nach ein bis zwei Wochen wieder da oder werden von Anfang an gar nicht entfernt.
      Besonders gefallen mir die dummen Anzeigen für klobige Ladegeräte, die das „Telefon magisch defragmentieren“, und Anzeigen für Micro-Ghost-Pistolen.
    • Gleichzeitig wird Journalisten untersagt, Kriegsvideos ohne Kontext zu verwenden.
    • Einem siebenjährigen Kind wurden ständig Werbeanzeigen für Rasierzubehör einschließlich Rasierer angezeigt. Natürlich weiß Google, dass Papa einen großen Bart hat, aber Spaß beiseite: Ich wollte nicht, dass das Kind Interesse an Klingen entwickelt, also habe ich im ganzen Haus Adblocking aktiviert.
    • Sichere Werbung zu zeigen bedeutet, dass jemand die Anzeigen prüfen muss. In dem Gebäude, in dem Google Menschen zwingt, YouTube-Werbung anzusehen, werden Foxconn-artige Netze nötig sein.
  • Ich halte mich für einigermaßen sicherheitsbewusst, aber ich weiß nicht, ob mir das aufgefallen wäre. Ein weiterer Grund, uBO ohne Reue zu verwenden.

    • Als ich den Screenshot sah, dachte ich nur: „Ich sollte mal den Staub vom Monitor wischen.“ Ohne uBO wäre ich zu 100 % darauf hereingefallen.
    • uBlock Origin ist gut, aber ich weiß nicht, was es mit internationalisierten Domain-Homograph-Angriffen zu tun hat. In meiner Umgebung hat es das nicht blockiert.
    • Was ist uBO?
  • „Das Unternehmen erklärte, betrügerische Anzeigen würden nach einer Meldung so schnell wie möglich umgehend entfernt.“
    Wenn es Teil der Lösung sein wollte, hätte es die Anzeigen geprüft, bevor sie veröffentlicht werden. Aber das skaliert nicht, also werden Menschen betrogen, die Gesellschaft nimmt Schaden, und Google verdient untragbar viel Geld. Ein ziemlich fairer Deal...?
    Wie mehrere Leute gesagt haben, ist das Blockieren von Internetwerbung Teil einer gesunden und sicheren Internetnutzung.

    • Die Grenze ist allerdings heikel. Wenn Google anfängt, Anzeigen vorab zu prüfen und dabei auch halbwegs legitime Anzeigen blockiert, wird es darüber wieder Artikel geben.
      Moderation ist ein schwer zu lösendes Problem. Wir wollen Bequemlichkeit bei dem, was richtig ist, und starke Blockierung bei allem, was auch nur ein bisschen verdächtig ist. Es wird zwangsläufig hier und da etwas durchrutschen.
      Der Kernpunkt hier ist, ob das ein Ausnahmefall ist oder ob es ein auffälliges Problem mit vielen solchen Freigaben bei Google Ads gibt; der Artikel liefert darauf keine Antwort.
    • „Das Unternehmen erklärte, betrügerische Anzeigen würden nach einer Meldung so schnell wie möglich umgehend entfernt.“
      Vor einem Jahr gab es dasselbe Problem, und auch das Präfix des Domainnamens sieht gleich aus.
      https://www.bleepingcomputer.com/news/security/google-ad-for...
    • Content-Moderation macht man nicht, wenn man nicht dafür bezahlt wird oder es nicht einem guten Zweck dient. Google Ads ist beides nicht
  • Wenn ich wegen Know Your Customer (KYC) alle möglichen Verfahren durchlaufen muss, fände ich es gut, wenn Unternehmen in solchen Fällen, die das Leben erschweren, dasselbe tun müssten.
    Das gilt für irreführende Werbung, Spam-Anrufe, gefälschte Produkte auf Plattformen wie Amazon und sogar E-Mails.
    Alles scheint darauf ausgelegt zu sein, dass jeder Betrüger der Welt mich zu 100 % erreichen kann, während die Unternehmen, die das ermöglichen, für mich auf keine Weise erreichbar sind.

    • Die Informationsasymmetrie, die der Betrugsökonomie zugrunde liegt, macht mich wirklich wütend.
  • Das ist eine ziemlich clevere Masche. Hätte ich den Link in einem Kontext gesehen, der nicht als Anzeige gekennzeichnet war, wäre ich vielleicht auch darauf hereingefallen.
    Bei üblichen Unicode-Ersetzungen habe ich gelernt, sie zu erkennen, weil die Zeichen wenigstens ein bisschen seltsam aussehen, aber in diesem Fall war es anders. Selbst als der Pfeil darauf zeigte, habe ich den Punkt unter dem k nicht gesehen; für meine Augen sah er wie ein kleines Staubkorn oder Schmutz auf dem Monitor aus.
    Davon gibt es auf dem Bildschirm eine Menge, und das visuelle System blendet solches Rauschen gut aus.

    • Ich wäre wohl genauso darauf hereingefallen. Da ich aber Dark Mode verwende, erscheint es als weißer Punkt auf schwarzem Hintergrund und sieht nicht wie Staub auf dem Bildschirm aus. Es ist klar zu sehen.
      Es ist kein Staub, der Licht blockiert, wie ein schwarzer Pixel, sondern ein leuchtender weißer Pixel. Ich hatte Dark Mode bisher nie als Sicherheitsmaßnahme betrachtet :)
    • Es gibt viele Zeichen, die sehr schwer zu unterscheiden sind. Browser sollten so etwas erkennen, tun es aber nicht immer.
  • Punycode hat schon von Anfang an einen fragwürdigen Nutzen. Das ist zwar vor allem aus Sicht von Nutzern des lateinischen Alphabets gedacht, aber die vielen Websites in nichtlateinischen Schriftsystemen, die ich in den letzten zehn Jahren gesehen habe, nutzten alle normale ASCII-Domains.
    Auch bei Benutzernamen auf Websites, die Unicode erlauben, sieht man, dass Nutzer nichtlateinischer Schriften meist Benutzernamen im lateinischen Alphabet verwenden.
    In der Praxis wird Punycode fast ausschließlich für Spam-Domains genutzt. Auch Domains in kyrillischen oder asiatischen Sprachräumen verwenden meistens kein Punycode.
    Ich verstehe das Konzept von Punycode und finde es technisch beeindruckend, aber bei Domains ist es zu einem riesigen Phishing-Problem geworden.

    • Ich unterstütze die Sprachen der Welt voll und ganz, und ASCII ist für einen großen Teil der Menschheit ungeeignet. Aber es ist klar, dass das heutige Unicode für sicherheitskritische Anwendungen nicht geeignet ist.
      Selbst ich, der mehrere europäische Sprachen verwendet, brauche weniger als zehn Unicode-Zeichen, und tatsächlich sind sie jeweils immer noch 8-Bit-ISO-8859-15-Codes. Obwohl ich sie brauche, registrieren die meisten Websites nicht einmal Punycode-Domains, sondern verwenden eine verunstaltete ASCII-Version ihres Namens.
      Als praktische Maßnahme sollten Browser den Nutzer beim ersten Eingeben einer URL mit Nicht-ASCII-Zeichen fragen, ob URLs in einer bestimmten Sprache erlaubt werden sollen. Schon wenn man nur ein oder zwei Sprachen zulässt, verringert sich für die meisten Nutzer die Angriffsfläche erheblich.
    • Eines der Probleme mit ASCII-Domains ist die phonetische Zuordnung von CJK-Sprachen.
      Zum Beispiel gehört asahi.com derzeit 朝日 (der Zeitung Asahi Shimbun), sodass Asahi town (旭) es nicht nutzen kann. Natürlich könnte man etwas wie asahi-town.co.jp verwenden, aber es gibt viele Ortsnamen Asahi mit anderen Schreibweisen (旭日, 朝陽, 浅緋 usw.).
      Von all diesen eine willkürliche ASCII-Variante zu verlangen, ergibt keinen Sinn. Schon bei japanischen Ortsnamen ist es so, und dazu kommt noch das Überschneidungsproblem im gesamten Kulturraum der chinesischen Schriftzeichen.
      Ob solche Domains tatsächlich registriert sind, ist eher ein Henne-Ei-Problem, und der oben beschriebene Kollisionsraum wird sich im ASCII-Alphabet wohl kaum sauber lösen lassen.
      Dass westliche ASCII-Domains betrugsanfällig sind, ist ein Problem, aber man sollte auch nicht das Haus niederbrennen, um ein paar Wanzen loszuwerden.
    • Ich lebe in einem nicht englischsprachigen Land, und technisch gibt es zwar Nicht-ASCII-Domains, aber sie sind sehr selten. Die überwältigende Mehrheit der Websites verwendet lateinische Zeichen.
      Bei dedizierten Top-Level-Domains wie .рф sehe ich Punycode an sich jedoch nicht als Problem. Eine Form wie кремль.рф finde ich zum Beispiel in Ordnung.
    • Viele Menschen möchten vielleicht ihren eigenen Namen, den Namen ihrer Stadt usw. registrieren. Das scheint mir alles ein legitimer Anwendungsfall zu sein.
      Man könnte sagen, dass alles jenseits von ASCII verdächtig ist, aber Menschen, deren Muttersprache nicht Englisch ist, werden dem immer widersprechen.
    • Eine unpopuläre Meinung, aber es war eine schlechte Idee, den gesamten Unicode-Zeichensatz mit Gewalt in Domainnamen pressen zu wollen. Man hätte bei nicht nach Groß-/Kleinschreibung unterscheidendem ASCII [A-Za-z0-9-] bleiben sollen.
  • Eine Möglichkeit, bösartige Anzeigen zu reduzieren, ist Transparenz. Jede Anzeige sollte die rechtlichen Kontaktdaten des Werbetreibenden enthalten, also Unternehmensname und Land.
    Das wird das Problem nicht vollständig lösen, aber Verbraucher könnten Anzeigen dubioser osteuropäischer Unternehmen meiden. Für Sicherheitsforscher würde es leichter, bösartige Akteure zu verfolgen, und auch die Werbeplattform Google bekäme ein gewisses Maß an Verantwortung.
    Facebook macht das bei politischer Werbung bereits, also ist es machbar.

    • Das würde die Umsätze von Google und Facebook senken.
      Solange Regierungen sie nicht dazu zwingen oder das Risiko rechtlicher Haftung nicht zu groß wird, werden sie das nicht freiwillig tun.
    • Warum ist Osteuropa verdächtig?
      Ist das nicht ein bisschen fremdenfeindlich?
    • Man könnte eine Datenbank[0] der SSL-Zertifikate aller Websites nehmen und sie mit der Website vergleichen, die gerade besucht wird, oder mit der Website, die die Werbefläche gekauft hat.
      [0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...
    • Das wäre wirklich gut.