IDN Char Collision Detection
IDN Char Collision Detection (kurz IdnCCD) ist ein Protokoll zur Bekämpfung homographischer Phishing-Angriffe mit internationalisierten Domainnamen (IDNs). Bei IDN-basierten Phishing-Angriffe machen sich Betrüger die Ähnlichkeit zwischen lateinischen ASCII-basierten Zeichen (a–z oder 0–9) und außerhalb des ASCII-Bereichs liegenden internationalen Zeichen zu Nutze.
Vorgehensweise bei IDN-basierten Phishing-Angriffe
- Phishing-Betrüger registrieren Domains mit internationalen, beispielsweise kyrillischen Zeichen wie zum Beispiel den Domainnamen: xn--meineonlinebnk-6tl.com
- Der Domainname: xn--meineonlinebnk-6tl.com wird als Punycode bezeichnet und ist die ASCII-kompatible Form eines IDN.
- Der dahinterstehende internationale Domainname lautet: meineonlinebаnk.com. Der als Beispiel angeführte Domainname enthält den kyrillischen Buchstaben ‚а‘ (der mit dem lateinischen Buchstaben ‚a‘ optisch identisch ist) und ist als IDN präsentiert von dem nur aus ASCII-basierten Zeichen bestehenden Domainnamen: meineonlinebank.com nicht mehr zu unterscheiden.
- Online-Betrüger nutzen diese Ähnlichkeit von meineonlinebаnk.com um den Internet-Usern ihre persönlichen Daten zu entlocken.
Lösungen zur Bekämpfung von IDN-basierten Phishing-Angriffe
- Browser stellen Links die auf IDNs basieren in Punycode-Form dar. Der wesentliche Nachteil bei dieser Vorgehensweise: Domainnamen mit internationalen Zeichen verlieren durch die Darstellung in Punycode-Form ihre Originalität.
- IdnCCD-Protokoll (Idn Char Collision Detection) filtert bei Domainnamen „kritische Zeichenkollisionen“ heraus. Das IdnCCD-Protokoll wurde von Thomas Meike entwickelt.
Grundprinzip von IdnCCD
Als „kritische Zeichenkollisionen“ gelten immer jene Zeichen denen sprach-regional gesehen eine eher geringe Bedeutung zukommen. Im Falle von meineonlinebаnk.com, handelt es sich durch das Auftreten eines kyrillischen ‚а‘ innerhalb des Domainnamens um eine eindeutige Zeichenkollision.
Ein kyrillisches ‚а‘ hat sprach-regional betrachtet gegenüber dem lateinischen ‚a‘, innerhalb von Domainnamen eine sehr geringe Bedeutung. Demnach sollte das Auftreten dieses Buchstabens innerhalb des Domainnamens unmittelbar zu einer Warnung an den Internet Benutzer führen. Der Internet-Benutzer sollte aber dennoch die Möglichkeit haben, frei zu entscheiden, ob der Link weiterverfolgt werden soll oder nicht.