Cybersecurity-Experten haben eine raffinierte neue Methode für Phishing-Angriffe identifiziert, bei der Kriminelle das japanische Hiragana-Zeichen „ん“ ausnutzen, um täuschend echte URLs zu erstellen. Diese innovative Angriffstechnik macht es für Nutzer nahezu unmöglich, gefälschte von authentischen Webseiten bekannter Unternehmen zu unterscheiden.
Funktionsweise der Unicode-basierten Homograph-Attacken
Die entdeckte Bedrohung gehört zur Kategorie der homographischen Angriffe, die auf sogenannten Omoglyphen basieren – visuell identische oder ähnliche Zeichen mit unterschiedlichen Unicode-Werten. Cyberkriminelle verwenden dabei das Hiragana-Zeichen „ん“ (Unicode U+3093), das je nach Schriftart als „/n“ oder „/~“ dargestellt werden kann.
Der Sicherheitsforscher JAMESWT machte die Cybersecurity-Community erstmals auf diese Bedrohung aufmerksam, indem er konkrete Missbrauchsbeispiele in sozialen Medien dokumentierte. Die visuelle Ähnlichkeit ermöglicht es Angreifern, gefälschte URLs zu konstruieren, die für Endnutzer völlig authentisch erscheinen.
Konkrete Angriffsszenarios und Schadensvektoren
Bei der Analyse aktueller Kampagnen entdeckten Forscher eine ausgeklügelte Nachahmung offizieller E-Mails des Buchungsportals Booking.com. Die Kriminellen erstellten gefälschte Nachrichten mit Links, die optisch wie https://admin.booking.com/hotel/hoteladmin/ aussahen, tatsächlich aber auf die bösartige Domain https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/ weiterleiteten.
In der Browser-Adresszeile erzeugen die „ん“-Zeichen eine überzeugende Illusion der offiziellen booking.com-Domain, während die tatsächliche Ziel-Domain www-account-booking.com lautet. Der restliche URL-Teil fungiert als sorgfältig konstruierte Subdomain zur Nutzertäuschung.
Technische Kompromittierungskette
Nach erfolgreicher Weiterleitung gelangen Opfer auf die Seite www-account-booking.com/c.php?a=0, wo über Content Delivery Networks ein schädlicher MSI-Installer ausgeliefert wird. Diese Datei dient als primärer Angriffsvektor für die Bereitstellung zusätzlicher Malware-Komponenten, einschließlich Informationsstealer und Remote Access Tools.
Geografische Ausweitung der Angriffsmuster
Ähnliche Taktiken wurden bei Attacken gegen Nutzer der Finanzplattform Intuit beobachtet. Hier ersetzten Cyberkriminelle den Buchstaben „I“ am Domainanfang durch „L“, wodurch Domains wie „Lntuit.com“ entstanden, die bei bestimmten Schriftarten praktisch nicht vom Original „Intuit.com“ zu unterscheiden sind.
Effektive Schutzmaßnahmen und Präventionsstrategien
Cybersecurity-Spezialisten empfehlen mehrschichtige Schutzansätze für Endnutzer. Das Bewegen des Mauszeigers über Links vor dem Klicken ermöglicht eine Vorschau der Ziel-URL in Browser-Tooltips oder Statusleisten.
Zusätzlich sollten Nutzer Domainnamen in der Adresszeile genau prüfen und dabei besonders auf ungewöhnliche Zeichen oder verdächtige Buchstabenkombinationen achten. Wichtig ist jedoch das Verständnis, dass Angriffe mit speziellen Unicode-Zeichen die Identifikation gefälschter Websites erheblich erschweren können.
Die Weiterentwicklung homographischer Angriffe mit multilingualen Schriftzeichen verdeutlicht die kontinuierliche Evolution von Social Engineering-Techniken im Cyberraum. Verstärkte Nutzeraufklärung über solche Bedrohungen und die Implementierung zusätzlicher technischer Schutzmaßnahmen werden zu kritischen Bausteinen moderner IT-Sicherheitsstrategien. Organisationen sollten ihre Mitarbeiter regelmäßig über diese raffinierten Angriffsmethoden informieren und technische Lösungen implementieren, die Unicode-basierte Manipulationen erkennen können.
