Heise meldet, dass man mit Umlaut-Domains (IDN, also z.b. www.sülzentrüller.de) falsche URLs vorgaukeln kann. Das ganze nennt man Phishing und funktioniert so perfekt, dass man es kaum bemerken kann:
Die Umlaute werden mit Punycode kodiert, das heisst www.sülzentrüller.de heisst eigentlich www.xn--slzentrller-thbg.de. Diese Umwandlung findet verborgen im Browser statt, weil draussen im wilden weiten Internet die DNS-Kisten sonst nur Bahnhof verstehen.
‘Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.
Und schwupps – kann man sich sein eigenes www.paypal.com bauen, das kaum einer vom echten unterscheiden kann.
Update: Unter www.shmoo.com/idn/ kann man sich eine Demo ansehen und sich zu einem falschen paypal.com leiten lassen.
Und ich habe gleich gesagt, das ist Bockmist mit den Umlauten, erst recht so ein Krüppelzeug wie Punycode – und das obwohl mein Nachnahme einen Umlaut hat. Bis heute kann man an eine Umlaut-Domain nicht vernünftig Mails schicken – was will ich also damit?
Irgendwie erinnert mich das ein wenig an HTML-Mails. Hoax-Mails die Mitte der Neunziger vor gefährlichen Viren gewarnt haben, die durch blossen Anschauen einen mächtigen Bohei auf dem Rechner veranstalten sollte. Jeder mit etwas Verstand hat darüber gelacht: «Hey – wie soll das gehen? Eine eMail besteht nur aus Text und nicht aus ausführbarem Code.»
Mittlerweile: Denkste! Die Errungenschaft, das mir man mir Mails schreiben kann, die mir den Text in 7 Punkt blauer Times Roman zeigen wollen, scheint es wohl wert zu sein.
~ End Article and Begin Conversation ~
Comments are closed.