Homoglyphenangriffe: Wie ähnliche Charaktere für Cyberbetrug ausgenutzt werden

Inhaltsverzeichnis:

• Einführung
• Was ist ein Homoglyphenangriff?
• Praktische Homoglyphen verwechselbar
  • Praktische Tabelle für Homoglyphenverwechslungen
• Warum Homoglyphenangriffe effektiv sind
• Häufige Anwendungsfälle und Angriffsvektoren von Homoglyphen
• Praxisbeispiele und Kampagnenmuster
• Technischer Tiefeneinblick – Unicode, IDNs und Punycode
  • Unicode und Schriftsysteme
  • IDNs und Punycode
  • Gemischte Schriftsysteme und Verwechslungsgefahr
• Angriffsablauf – Schritt für Schritt
• Warum die Erkennung fehlschlagen kann – Subtile technische Fallstricke
• MITRE ATT&CK Mapping (High-Level)
• Abwehrmaßnahmen und operative Empfehlungen
  • Politik und Governance
  • Technische Kontrollen
  • Betriebspraktiken
• Best-Practice-Checkliste
• Neue Trends, die es zu beobachten gilt
• Fazit

 

Einführung

Sie sehen eine URL, entdecken einen bekannten Markennamen und klicken – und geben damit Ihre Zugangsdaten an Angreifer weiter. Genau diesen kleinen optischen Fehler (ein „o“, das eigentlich ein griechisches Omikron ist, ein kleines „l“, das durch ein großes „I“ ersetzt wurde) nutzen Homoglyphenangriffe aus. Homoglyphen sind optisch ähnliche Zeichen aus verschiedenen Zeichensätzen (lateinisch, kyrillisch, griechisch, Vollbreitenformen usw.). Wenn Angreifer Zeichen in Domains, Dateinamen, Anzeigenamen von Nachrichten oder im Code vertauschen, werden Menschen – und oft auch automatisierte Abwehrsysteme – getäuscht.

Homoglyphenangriffe sind eine kostengünstige und wirkungsvolle Täuschungstechnik. Sie werden für Phishing, Markenfälschung, Malware-Verbreitung, Verschleierung von Lieferketten und das Umgehen einfacher Erkennungsregeln eingesetzt. Dieser Blog erklärt die technischen Mechanismen (Unicode, IDNs, Punycode), wie Angreifer Homoglyphen einsetzen, Erkennungs- und Jagdstrategien, reale Anwendungsmuster, MITRE-Mapping und praktische Abwehrmaßnahmen – einschließlich mehrschichtiger Schutzmechanismen wie Quick Heal / Seqrite helfen.

Was ist ein Homoglyphenangriff?

Ein Homoglyph ist ein Zeichen, das einem anderen Zeichen sehr ähnlich sieht. Zum Beispiel:

• Lateinisches a (U+0061) vs. Kyrillisches а (U+0430)
• Lateinisch o (U+006F) vs Griechisch ο (Omikron, U+03BF)
• Lateinisches I (großes i, U+0049) vs. kleines l (ell, U+006C) vs. Kyrillisches І (U+0406)

Bei einem Homoglyphenangriff werden ein oder mehrere Zeichen in einer Kennung (Domain, Dateiname, E-Mail-Anzeigename) durch optisch verwechselbare Alternativen ersetzt, um eine vertrauenswürdige Ressource vorzutäuschen. Bei internationalisierten Domainnamen (IDNs) werden diese Domains in ASCII mit Punycode (dem Präfix xn--) dargestellt, in Browsern jedoch häufig mit den ursprünglichen Unicode-Zeichen gerendert – wodurch Nutzern eine authentisch wirkende URL angezeigt wird.

Ein kurzes Punycode-Beispiel (konzeptionell, anonymisiert):

Angezeigte Domain: google-example[.]com (Griechisches Omikron anstelle des lateinischen 'o' verwendet)

Punycode (ASCII): xn--gogle-example-abc[.]com

Praktische Homoglyphen verwechselbar

Homoglyphenangriffe nutzen visuell ähnliche Zeichen aus verschiedenen Schriftsystemen wie Latein, Kyrillisch und Griechisch aus. Diese ähnlich aussehenden Buchstaben können Benutzer täuschen, vertrauenswürdige Domains fälschen und sogar einige automatische Filter umgehen.

Nachfolgend finden Sie eine Kurzübersicht der häufig missbrauchten Homoglyphenpaare, die bei Phishing- und Identitätsdiebstahl-Kampagnen vorkommen.

Praktische Tabelle für Homoglyphenverwechslungen

visuell	Legitimer Charakter	Doppelgänger	Skript	Häufige Verwendung bei Angriffen
a	a (U+0061)	a (U+0430)	kyrillisch	„PayPal“, „Facebook“
e	e (U+0065)	е (U+0435)	kyrillisch	„Microsoft“, „Tesla“
o	o (U+006F)	o (U+03BF), o (U+043E)	Griechisch / Kyrillisch	„Google“, „Microsoft“
i	i (U+0069)	ı (U+0131), І (U+0406)	Türkisch / Kyrillisch	„Instagram“, „Microsoft“
l	l (U+006C)	I (U+0049)	Lateinisch	„googIe“, „micros0ft“
c	c (U+0063)	c (U+0441)	kyrillisch	„Facebook“, „Microsoft“
p	p (U+0070)	p (U+0440)	kyrillisch	„paypal“, „dropbox“
s	s (U+0073)	ѕ (U+0455)	kyrillisch	„microsoft“, „slack“
y	y (U+0079)	y (U+0443)	kyrillisch	„yahoo“, „paypal“
x	x (U+0078)	x (U+0445)	kyrillisch	„xbox“, „linux“
d	d (U+0064)	d (U+0501)	kyrillisch	„Wolkenflare“
h	h (U+0068)	һ (U+04BB)	kyrillisch	“һbo”, “һulu”
n	n (U+006E)	n (U+0578)	Armenisch	„liпkedin“, „amazoп“
m	m (U+006D)	rn (Sequenz)	Latein (visueller Trick)	„rnicrosoft“ statt „microsoft“
0	0 (Ziffer Null)	O (U+004F), о (U+043E)	Lateinisch / Kyrillisch	„microsoft“, „google“

 

Warum sind Homoglyphenangriffe effektiv?

1. Menschliche Wahrnehmung: Menschen beurteilen URLs visuell und sind schlecht darin, subtile Unterschiede zwischen den Zeichen zu erkennen.
2. Diskrepanz zwischen Anzeige und Speicher: Systeme speichern möglicherweise ASCII (Punycode), zeigen aber Unicode an, was zu Verwirrung führt.
3. Richtlinien-/Zulassungslistenlücken: Bei der Zulassungsliste basierend auf sichtbaren Zeichenketten (ohne Normalisierung) können IDN-basierte Lookalikes übersehen werden.
4. Verfügbarkeit von Zertifikaten und Hosting: Angreifer können TLS-Zertifikate für ähnlich aussehende Domains (Let's Encrypt und ähnliche) erlangen, wodurch die wahrgenommene Legitimität erhöht wird.
5. Automatisierungslücken: Viele Sicherheitspipelines normalisieren Unicode nicht oder führen keine Erkennung gemischter Schriftsysteme durch, sodass Homographen durchrutschen.

Häufige Anwendungsfälle und Angriffsvektoren von Homoglyphen

• Spear-Phishing & Credential Harvesting: Phishing-E-Mails enthalten Links zu täuschend echt aussehenden Domains, die Formulare zur Erfassung von Anmeldeinformationen hosten.
• Business Email Compromise (BEC): Betrugsmaschen bei Rechnungen/Zahlungen, bei denen der Absendername oder eine Domain auf der Rechnung korrekt aussieht, aber Homoglyphen enthält.
• Malvertising / Malware-Verbreitung: Ausführbare Dateien und Updates werden auf ähnlich aussehenden Domains gehostet, um Analysten und Sandboxes zu täuschen.
• Benutzername-/Anzeigenamen-Spoofing: Angreifer registrieren auf Slack/Teams/E-Mail Konten, deren Anzeigename Homoglyphen verwendet, um sich als Kollegen auszugeben.
• Verwirrung in der Lieferkette und bei den Entwicklern: Paketnamen, Repository-Namen oder Variablenbezeichner mit ähnlich aussehenden Zeichen verleiten Entwickler dazu, bösartigen Code einzubinden oder falsche Binärdateien auszuführen.

Beispiele aus der Praxis und Kampagnenmuster

Um handlungsfähig und verantwortungsbewusst zu bleiben, werden im Folgenden anonymisierte Muster und öffentlich gemeldete Verhaltensweisen aufgeführt (ohne Schuldzuweisungen an einzelne Marken):

• Phishing mit Fokus auf Finanzdienstleistungen: Kampagnen registrieren ähnliche Domains von Zahlungsportalen mit gemischten lateinischen/kyrillischen Zeichen, hosten Anmeldeformulare und versenden Follow-ups, um den Erfolg zu steigern.
• SaaS-Identitätsdiebstahl: Angreifer registrierten IDNs, die optisch identisch mit einer beliebten SaaS-Anmeldeseite waren, um Anmeldeinformationen zu erbeuten. Häufig kombinierten sie die Domain mit einem gültigen TLS-Zertifikat und einem überzeugenden HTML-Anmeldeformular.
• Amtsanmaßung in BEC: Um dringende Überweisungen zu fordern, werden in E-Mail-Clients angezeigte Namen (oder geringfügige Domain-Änderungen) verwendet; die Täter verlassen sich darauf, dass die Benutzer die tatsächliche Rücksende-Domain nicht überprüfen.
• Malware-Verbreitung über gefälschte Download-Websites: Gefälschte Downloadportale (z. B. für Installationsprogramme), die auf Homoglyph-Domains gehostet werden, um bösartige Nutzdaten zu verbreiten, die bei der Sandbox-Detonation aufgrund der neuen Domain-Reputation nicht erkannt werden.

Technischer Tiefgang – Unicode, IDNs und Punycode

Unicode und Schriften

Unicode ist ein umfassender Zeichensatz, der viele Schriftsysteme (lateinisch, kyrillisch, griechisch, armenisch, hebräisch, arabisch usw.) beinhaltet. Viele Glyphen verschiedener Schriftsysteme sehen bei üblichen Schriftgrößen ähnlich oder identisch aus.

IDNs und Punycode

Das Domain Name System (DNS) unterstützt historisch gesehen nur ASCII. Um auch nicht-ASCII-Namen zu ermöglichen, verwendet IDNA (Internationalized Domain Names in Applications) Punycode – eine ASCII-kompatible Kodierung mit dem Präfix xn--. Beispielsweise wird aus пример (Kyrillisch) xn--e1afmkfd.

Browser entscheiden anhand von Heuristiken, ob sie die Unicode- oder die Punycode-Form anzeigen. Verwendet eine Domain Zeichen aus einem einzigen Schriftsystem und stimmt dieses Schriftsystem mit dem Gebietsschema des Nutzers überein, zeigen Browser häufig die Unicode-Zeichenkette an – was für jemanden, der an lateinische Zeichen gewöhnt ist, optisch irreführend ist.

Vermischte Schriftsysteme und verwechselbare

Angreifer verwenden häufig Domains mit gemischter Schrift, die lateinische Buchstaben mit einigen kyrillischen oder griechischen Zeichen an visuell sensiblen Stellen kombinieren (Markenname im Kern, Domainbezeichnung am Anfang/Ende).

Technische Mechanismen, die für die Erkennung wichtig sind:

• Normalisierungsformen (NFC, NFD, NFKC) verändern die kanonische Zerlegung/Komposition und beeinflussen Stringvergleiche.
• Die Verwechslungstabellen (Unicode-Konsortium) listen visuell verwechselbare Zeichen auf; Verteidiger können diese für unscharfe Übereinstimmungen verwenden.
• BIDI-Steuerelemente (bidirektionale Steuerelemente) können die Textwiedergabe umkehren (\u202E), was von Angreifern genutzt wird, um Dateinamen oder Anzeigenamen zu verschleiern.

Angriffsablauf – Schritt für Schritt

1. Aufklärung & BrandingDer Angreifer sammelt Markennamen, gängige Subdomains und lokalisierte Skripte, die vom Ziel verwendet werden.
2. Domainvorbereitung: Registrieren Sie die Homoglyph-Domain(s) über einen Registrar, der IDNs akzeptiert; optional können Sie TLS-Zertifikate erwerben.
3. Hosting & Inhalte: Phishing-Seite, Download-Portal oder Weiterleitungsabläufe einrichten; E-Mail-Vorlagen so konfigurieren, dass sie auf die Domain verweisen.
4. Lieferung: Versenden Sie E-Mails, Anzeigen oder Social-Media-Nachrichten mit einem Link zur Homoglyphen-Domain; nutzen Sie typische Vertrauenssignale (Logos, ähnliche Formulierungen).
5. Sammlung und Verwertung: Zugangsdaten sammeln, Schadsoftware verbreiten, durch Betrug oder Verkauf auf Zugangsmarktplätzen monetarisieren.
6. Beharrlichkeit: Nutzen Sie die gesammelten Zugangsdaten, um den Zugriff zu erweitern oder registrieren Sie weitere ähnliche Domains, um Kampagnen zu rotieren.

Warum die Erkennung fehlschlagen kann – subtile technische Fallstricke

• Keine Unicode-Normalisierung: Tools, die Zeichenketten direkt ohne Unicode-Normalisierung vergleichen, führen zu Fehlpaarungen.
• Abweichungen bei Schriftart/Darstellung: Manche Schriftarten zeigen Unterschiede (Serifen), andere verbergen sie (serifenlose Schriften in kleinen Größen).
• Heuristiken für gemischte Schriftsysteme: Nicht alle Filter erkennen gemischte Schriftsysteme; manche Legitimitätsprüfungen gewährleisten nur ASCII.
• TLS-bedingtes trügerisches Sicherheitsgefühl: Ein gültiges Zertifikat ist kein Identitätsnachweis; Zertifikatstransparenz ist hilfreich, verhindert aber keine Registrierungsmuster.

MITRE ATT&CK-Mapping (hohe Ebene)

• Homoglyphenangriffe ähneln am häufigsten Phishing-basierten Erstzugriffen, bei denen täuschend echt aussehende Domains Seiten zum Sammeln von Anmeldeinformationen hosten.
• Angreifer nutzen Open-Source-Informationen, um glaubwürdige Identitätsdiebstahlziele zu erstellen und während der Ressourcenentwicklungsphase betrügerische Domains und TLS-Zertifikate zu erlangen.
• Maskierungstechniken werden eingesetzt, um Abwehrmechanismen zu umgehen und so letztendlich den Diebstahl von Zugangsdaten, Betrug oder umfassendere Eindringversuche zu ermöglichen.

 

Praktikum	Technik	ATT&CK-ID	Homoglyphenrelevanz
Erster Zugriff	Phishing: Spear-Phishing-Link	T1566.002	Ähnliche Domains hosten Anmeldeinformationsseiten
Aufklärung	Suche nach offenen Websites/Domains	T1593	OSINT wurde zur Erstellung zielspezifischer Homoglyphen verwendet.
Ressourcenentwicklung	Domain erwerben	T1583.001	Homoglyphen-Domains und TLS-Zertifikate registrieren
Verteidigungsausweichung	Maskerade / Irreführende Namensgebung	T1036	Homoglyphen geben sich als vertrauenswürdige Namen aus
Zugang zu Anmeldeinformationen	Phishing nach Anmeldeinformationen	T1531 / T1556	Abgegriffene Zugangsdaten wurden für die Übernahme verwendet
Auswirkungen	Datenverschlüsselung zum Schutz vor Betrug	T1486 / T1490	Der anfängliche Vektor führt zu größeren Eindringungen.

 

Abwehrmaßnahmen und operative Empfehlungen

Politik und Governance

• Organisationen sollten eine formale Domain-Verteidigungsstrategie pflegen, die die Registrierung gängiger, ähnlich aussehender Domains für hochwertige Marken und Dienstleistungen umfasst.
• Klare Richtlinien zur IDN-Nutzung sollten die Verwendung von Domains mit gemischten Schriftsystemen in der offiziellen Kommunikation verbieten.

Technische Kontrollen

• E-Mail-Gateways und Web-Proxys müssen Unicode normalisieren und Punycode-Warnungen für verdächtige Links deutlich anzeigen.
• DNS-Filtersysteme sollten neu entdeckte xn-- Domains bis zu einer Überprüfung als risikoreich einstufen.
• Die Überwachung der Zertifikatstransparenz sollte Sicherheitsteams alarmieren, wenn Zertifikate für ähnlich aussehende Domains ausgestellt werden.

Betriebspraktiken

• Markenüberwachungsprogramme sollten Domainregistrierungen und Missbrauchsmeldungen nahezu in Echtzeit verfolgen.
• Phishing-Simulationen sollten realistische, auf Homoglyphen basierende Szenarien beinhalten, um das Bewusstsein der Nutzer zu schärfen.
• In den Leitfäden zur Reaktion auf Sicherheitsvorfälle sollten die Arbeitsabläufe zur Abschaltung von Systemen dokumentiert werden, einschließlich der Eskalation an Registrare und Hosting-Anbieter.

Best-Practice-Checkliste

• Erzwingen Sie die Multi-Faktor-Authentifizierung für alle sensiblen Dienste.
• Normalisiere und untersuche alle eingehenden URLs und zeige gegebenenfalls Punycode an.
• Überwachen Sie die Zertifikatstransparenz und passive DNS-Daten für neu registrierte ähnliche Domains.
• Domains mit gemischten Schriftsystemen sollten blockiert oder streng geprüft werden.
• Führen Sie Phishing-Simulationen durch, die Homoglyphentechniken beinhalten.
• Registrieren Sie defensive Domainvarianten für kritische Marken.
• Bei Anfragen bezüglich Finanzen oder Qualifikationen ist eine zusätzliche Überprüfung erforderlich.

Neue Trends, die es zu beobachten gilt

• Angreifer automatisieren zunehmend die Homoglyphenerzeugung und die Domainregistrierung in großem Umfang.
• KI-gestütztes Phishing verbessert die Glaubwürdigkeit der Köder, während Homoglyphendomänen die Täuschungsebene beherbergen.
• Der Missbrauch von Homoglyphen greift durch irreführende Paket- und Repository-Namen auch auf Software-Lieferketten über.
• Kanalübergreifende Identitätsdiebstahl-Methoden kombinieren Homoglyphen mit Chat-Plattformen und Stimmklonierung, um das Vertrauen und die Erfolgsquote zu erhöhen.

Fazit

Homoglyphenangriffe verdeutlichen, wie geringfügige visuelle Manipulationen zu gravierenden Sicherheitslücken führen können. Indem sie die Komplexität von Unicode und die menschliche Wahrnehmung ausnutzen, umgehen Angreifer sowohl Benutzer als auch unzureichend standardisierte Schutzmechanismen.

Wirksame Abwehrmaßnahmen erfordern mehrstufige Kontrollen: Unicode-Normalisierung, Erkennung verwechslungsfähiger Zeichensätze, Erkennung gemischter Schriftsysteme, proaktive Domänenüberwachung und strenge Benutzerverifizierungsprozesse. In Kombination erhöhen diese Maßnahmen die Kosten und Komplexität für Angreifer erheblich – und machen aus einer einfachen Täuschungstechnik eine deutlich weniger wirksame Bedrohung.

Autoren

AutorinMatin Tadvi
Mitverfasser: Niraj Makasare