Ist das ein homographischer Angriff?

6189
Ben Druno

Ich habe einen Link von der Addidas-Website mit einigen Angeboten erhalten. Aber als ich genau hinschaute, hat die Adresse einen verdächtigen Unterschied. www-adidạs-com hier 'a' ist anders. Ist das ein homographischer Angriff? http: //www.adidạs.com/

1
Sieht aus wie einer. Schlagen Sie in den DNS-Einträgen dieser URL nach, um zu sehen, wie ihre Einträge mit der echten adidas-Site verglichen werden. music2myear vor 6 Jahren 0
Wie finde ich DNS-Einträge einer URL? Ich kann auch nicht traceroute oder whois nach dieser URL suchen. Es sagt "Fehler beim Auflösen der URL" Ben Druno vor 6 Jahren 0
Wie sucht man nach DNS-Einträgen für Datensätze? Ben Druno vor 6 Jahren 0

1 Antwort auf die Frage

2
RedGrittyBrick

Ja, das ist ein homographischer Angriff

Unicode-Zeichen 'LATIN SMALL LETTER A MIT DOT UNTEN' (U + 1EA1)

Adidas hat keinen Grund, diesen Charakter in einer seiner Domains einzusetzen.

Adidas ist ein deutsches Unternehmen und das Underdot wird nicht in deutscher Sprache verwendet.

Wenn ein Teil eines Hostnamens ein Nicht-ASCII-Zeichen enthält (wie dieses), konvertiert der Browser dieses Element in die IDNA-Kodierung . Die eigentliche DNS-Suche ist also www.xn--adids-m11b.com

Sie können dies leicht mit Wireshark oder tcpdump überprüfen und dann in einem Webbrowser auf Ihre URL http: //www.adidạs.com/ klicken .

Die echten Adidas nutzen Content Delivery Networks wie Akamai wie viele andere große Organisationen

> host www.adidas.com www.adidas.com is an alias for chinacdn.ev.adidas.edgekey.net. chinacdn.ev.adidas.edgekey.net is an alias for e2828.a.akamaiedge.net. e2828.a.akamaiedge.net has address 2.19.150.110

Diese falsche Menge nicht

> host www.xn--adids-m11b.com www.xn--adids-m11b.com has address 104.27.180.65 www.xn--adids-m11b.com has address 104.27.181.65 www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b541 www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b441

Dies führt zu einer Art Betrug oder Virusdump

> wget -S -O - www.xn--adids-m11b.com  --2018-02-03 18:21:54-- http://www.xn--adids-m11b.com/ Resolving www.xn--adids-m11b.com... 104.27.180.65, 104.27.181.65, 2400:cb00:2048:1::681b:b541, ... Connecting to www.xn--adids-m11b.com|104.27.180.65|:80... connected. HTTP request sent, awaiting response...  HTTP/1.1 200 OK Date: Sat, 03 Feb 2018 18:21:56 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: keep-alive Set-Cookie: __cfduid=de9ae099750b5ca0fa59df2255aefedbd1517682116; expires=Sun, 03-Feb-19 18:21:56 GMT; path=/; domain=.xn--adids-m11b.com; HttpOnly Last-Modified: Sat, 03 Feb 2018 14:23:22 GMT Accept-Ranges: bytes Server: cloudflare CF-RAY: 3e7769a9b00c348e-LHR Length: unspecified [text/html] Saving to: 'STDOUT'  <script type="text/javascript"> <!-- window.location = "http://xn--adids-m11b.com/shoes/" //--> </script> <!DOCTYPE html> <head>  <meta property="og:image" content="images/logo.png" /> <meta property="og:title" content="Adidas is giving away 5000 Free Pair of Shoes to celebrate its 93rd anniversary" /> <script src="s4.min.js"></script> ...
Aber wie kann jemand eine Website mit dieser Domain betreiben? Ich kann nicht tun, wer nach diesem sucht. Es wird angezeigt "Fehler beim Auflösen der URL" Ben Druno vor 6 Jahren 0
@Ben - siehe aktualisierte Antwort RedGrittyBrick vor 6 Jahren 0
Obwohl die Domäne nicht aus ASCII-Zeichen besteht, wird sie in IDNA konvertiert. Ein Domainname kann also auch Sonderzeichen enthalten? Ben Druno vor 6 Jahren 0
@Ben Ja, bei der ersten Erfindung war DNS nur ASCII, heutzutage über IDNA usw. DNS wurde zur Unterstützung von Unicode aufgerüstet. DNS-Registries und -Browser implementieren Maßnahmen, um das Spoofing mit Homographen zu verhindern. Aus diesem Grund leitet der Server dieser URL den Client letztendlich auf eine andere URL um. RedGrittyBrick vor 6 Jahren 0

Verwandte Probleme