Immer wieder versuchen Kriminelle mit täuschend echt aussehenden Webseiten ihre Opfer um Geld oder Passwörter zu betrügen. Meist wird der Link zur Seite in einer E-Mail verschickt und die Empfänger werden dazu aufgefordert, ihr Bankkonto oder persönliche Daten auf der falschen Webseite einzugeben. Denn es ist nicht nur möglich das Design einer Webseite zu kopieren, auch der Domainname im Adressfeld des Browsers kann gefälscht werden.
Wie funktioniert das?
Dommainnamen lassen sich so fälschen, dass sie sich nicht vom Original unterscheiden. Das geschieht über Sonderzeichen. So sieht ein kleines kyrillisches "a" einem lateinischen "a" zum Verwechseln ähnlich, allerdings sind es verschiedene Zeichen. Die Domain www.a.com mit dem lateinischen "a" würde zu einer anderen Seite führen als www.a.com mit dem kyrillischen "a".
Die Entwickler eines Wordpress-Plugins haben auf das Problem aufmerksam gemacht und eine Fake-Seite unter www.epic.com registriert - mit Zeichen, die so ähnlich aussehen wie die lateinischen Buchstaben "e", "p", "i" und "c". Die Webseite sollte man nicht verwechseln mit der echten Seite www.epic.com, die zu einem Unternehmen für Softwareentwicklung gehört. In der Adressleiste des Browsers sehen die Domains gleich aus, führen aber zu unterschiedlichen Webseiten. Das Missbrauchspotential durch solche Fake-Webseiten ist groß.
Was steckt dahinter?
Eigentlich bestehen Domainnamen nur aus 37 Zeichen: Den lateinischen Buchstaben a bis z, den Zahlen 0 bis 9 und dem Bindestrich. Daraus ergeben sich Probleme, denn durch die Einschränkung sind beispielsweise arabische, kyrillische oder chinesische Domainnamen nicht möglich. Auch deutsche Umlaute, französische Akzentzeichen oder ein dänisches ø können in einem Domainnamen eigentlich nicht vorkommen.
Aber seit 2003 wurden schrittweise Domains mit Sonderzeichen gestattet. Für deutsche Domains, die auf .de enden, war das im März 2004 der Fall. Um nicht das gesamte System zu ändern, wird ein Verfahren namens Punycode genutzt. Damit werden alle Sonderzeichen, Umlaute und Buchstaben mit den ursprünglichen 37 Zeichen ausgedrückt.
Beispielsweise wird das Wort "Süddeutsche" mit Punycode zu "sddeutsche-9db". Um ein Wort mit speziellen Buchstaben zu kennzeichnen, wird noch ein "xn--" vorangestellt. Das bedeutet, wenn Sie die Webseite http://www.süddeutsche.de aufrufen, landen Sie eigentlich auf www.xn--sddeutsche-9db.de, weil ein "ü" im Domainnamen nicht vorgesehen ist (Die Domain gehört der Süddeutschen Zeitung und leitet auf die reguläre Startseite www.sueddeutsche.de weiter. Dort wird kein Punycode mehr benötigt).
Wer ist davon betroffen?
Von dieser Schwäche sind Nutzer der Browser Firefox und Chrome betroffen. Der Edge Browser von Microsoft zeigt die richtig aufgelöste Adresse im Punycode-Format an. Bei der falschen Seite www.epic.com ist das www.xn--e1awd7f.com. Auch Safari-Nutzer sind nicht betroffen.
Firefox-Nutzer können das ändern, indem sie "about:config" in die Adressleiste eingeben und nach "punycode" suchen. Beide befehle werden ohne Anführungszeichen eingegeben. Es wird eine Eigenschaft namens network.IDN_show_punycode angezeigt, die standardmäßig den Wert "false" besitzt. Per Doppelklick kann dieser Wert auf "true" umgestellt werden, so zeigt Firefox die Originaladressen im Punycode an und mögliche Betrüger sind leichter zu erkennen. Ein Update für Chrome soll in den nächsten Tagen kommen und das Problem beheben.
