Bild generiert durch OpenAI's DALL·E
Am 3. Mai 2023 läutete Google mit der Einführung von acht neuen Top-Level-Domains (TLDs), darunter .zip, eine Ära ein, die sowohl für Innovation als auch für Kontroverse steht. Doch warum sorgt gerade .zip für so viel Aufsehen in der Cybersecurity-Welt?
Die Herausforderung .zip
Die Endung „.zip“ ruft bei vielen von uns sofort Assoziationen mit komprimierten Archivdateien hervor. Genau hier liegt das Problem: Die neue .zip TLD könnte leicht dazu führen, dass Benutzer irreführende Links als harmlose Downloads missverstehen. Dies öffnet Tür und Tor für Phishing-Angriffe, bei denen Cyberkriminelle versuchen, uns auf bösartige Links klicken zu lassen, die als legitime Downloads getarnt sind.
TLDs vs. Dateierweiterungen: Eine kurze Erklärung
Um zu verstehen, warum .zip als TLD problematisch ist, sollten wir zwei grundlegende Begriffe klären: TLDs und Dateiendungen.
Lassen Sie uns starten für diejenigen, die nicht jeden Tag mit technischen Begriffen jonglieren.
Stellen Sie sich TLDs wie die Postleitzahlen des Internets vor: Sie helfen dabei, Websites in bestimmte "Gebiete" einzuordnen. Dateiendungen hingegen ähneln den Typen von Gebäuden in diesen Gebieten – ob es sich um ein Wohnhaus (.doc) oder ein Geschäft (.pdf) handelt. Beide sind essenziell für die Orientierung, doch ihre Verwechslung kann zu Verwirrung führen. Nun im technischen Kontext:
Top-Level-Domains (TLDs) werden verwendet, um Internetadressen zu strukturieren und zu kategorisieren. Sie dienen dazu, Websites thematisch zu gruppieren oder geografisch zu kennzeichnen. Zum Beispiel sind .com, .de, .it TLDs geografisch verschiedenen Ländern zugeteilt worden, während spezialisierte TLDs wie .edu für Bildungseinrichtungen oder .gov für Regierungsstellen stehen. Es gibt auch noch weitere regionale TLDs, generische TLDs und spezielle TLDs für verschiedene Branchen und Zwecke.
Dateiendungen sind hingegen die Buchstabenkombination, die am Ende eines Dateinamens stehen - z.B. .doc oder .pdf.
Diese dienen dazu, den Dateityp oder das Dateiformat einer digitalen Datei zu kennzeichnen. Sie ermöglichen es dem Betriebssystem oder den Anwendungen, die Datei korrekt zu identifizieren und entsprechend zu verarbeiten. Beispielsweise steht ".docx" für ein Microsoft Word-Dokument, während ".jpg" ein Bild im JPEG-Format kennzeichnet.
TLDs und Dateiendungen sind keineswegs dasselbe, nicht einmal ähnlich, aber beide spielen eine wichtige Rolle bei modernen Angriffen.
Ein gefährliches Potenzial für Verwirrung
Die Vermischung dieser beiden Konzepte öffnet ein gefährliches Potenzial für Verwirrung und Täuschung. Cyberkriminelle sind Meister darin, unsere Erwartungen auszunutzen, um uns in die Falle zu locken.
In E-Mail Anhängen ist es bereits häufiger vorgekommen, das eine Datei "Anhang.pdf.exe" mitgeschickt wurde und der Anwender der eine harmlose PDF Datei erwartet und öffnet - öffnet allerdings in Wirklichkeit eine .exe Datei ist und für "ausführbare Datei" steht, die Schadcode enthalten kann unddie auf einem Computer ausgeführen kann.
Für ein Beispiel mit Domainnamen (TLDs) nutzen Angreifer die Ähnlichkeit zwischen Wörtern aus oder das bekannte Wörter in diesen vorkommen - www.securitywho.com und www.securitywh0.com sehen auf den ersten, flüchtigen Blick in die Browserzeile ähnlich aus.
Ein praktisches Beispiel: Kleiner Unterschied, Große Wirkung!
Was erhält man, wenn Angreifer dies nun vermischen?
Hierfür gibt es ein fabelhaftes Beispiel vom Sicherheitsforscher Bobby Rauch in seinem Artikel "The Dangers of Google's .zip TLD" - ein lesenswerter Artikel, der die vollständigen technischen Aspekte hinter der Problematik aufzeigt.
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.ziphttps://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zipWelche dieser 2 Link aus Bobbys Artikel ist nun der Phishing Link?
Der untere.
Der erste Link würde eine Datei von der Domain github.com öffnen, der zweite hingegen würde eine Webseite der Domain v1.27.1.zip öffnen - die dem Angreifer gehört.
Wenn wir das nun festgestellt haben - wo ist allerdings der Unterschied in den beiden Links?
@
Das unscheinbare @ Zeichen.
In einer URL wurde das "@"-Zeichen normalerweise verwendet, um z.B. einen Benutzernamen oder ein Passwort in einem Authentifizierungsteil der URL anzugeben, wenn der Zugriff auf eine geschützte Ressource erfolgte. Dieses Format wird jedoch zunehmend weniger verwendet, da modernere Authentifizierungsmethoden bevorzugt werden. Somit wird jeglicher Teil vor einem @ als User-Input vom Browser angesehen.
Das ist allerdings nur die halbe Wahrheit - die folgenden Zeichen sehen zum verwechseln ähnlich aus, oder?
∕ /
Sogar direkt nebeneinander kaum zu unterscheiden - das 2. Slash ist ein legitim mit einem Unicode U+002F, das erste hingegen ist Unicode U+2215. Dieser sieht nur zum verwechseln ähnlich aus - allgemein werden gerne in Phisingdomains Unicode-Zeichen verwendet, da diese teilweise wie legitime Buchstaben aussehen - allerdings nur aus Sicht des Anwenders.
Da der legitime Slash vor dem @ Zeichen funktioniert nicht, da er nicht Teil des eigentlichen Sinne des Authentifizierungsteils war - nachdem die Browser allerdings das nicht legitime Unicode-Zeichen an dessen Stelle akzeptieren, haben Angreifer somit einen Workaround gefunden.
Was lernen wir daraus?
Ja, die Entscheidung, .zip als eine Top-Level-Domain einzuführen, mag rückblickend nicht als die klügste erscheinen. Sie bringt eine Reihe von Sicherheitsrisiken mit sich, die vor ihrer Einführung möglicherweise nicht vollständig bedacht wurden. Dennoch ist es wichtig zu erkennen, dass Unternehmen nicht wehrlos sind. Durch das proaktive Blocken aller Webseiten und DNS-Records, die mit den neuen TLDs assoziiert sind, können sie sich gegen die aufgezeigte potenzielle Bedrohungen schützen. Diese Maßnahme bietet einen ersten Schritt zum Schutz vor unerwünschten Zugriffen und minimiert das Risiko, Opfer von auf diesen Domains basierenden Angriffen zu werden.
Die Herausforderung wird jedoch komplexer, wenn es um den Angriff mit dem @-Zeichen geht. Diese Technik ist subtiler und daher schwieriger zu erkennen, nicht zuletzt, weil Angreifer in der Lage sind, gültige HTTPS-Zertifikate für ihre betrügerischen Websites zu erhalten. Dadurch erscheinen die URLs im Browser als legitim, was die Erkennung von Phishing-Versuchen für den Anwender erheblich erschwert. Hier können zwar technische Hilfsmittel eine Unterstützung bieten, aber eine umfassende Lösung dieses Problems würde letztlich eine Anpassung seitens der Browseranbieter erfordern, die diese speziellen Unicode-Zeichen in URLs nicht mehr akzeptieren.
Comentarios