Täuschung mit Unicode: Wie Homograph-Angriffe E-Mails gefährlich machen

Einblicke vom Threat Research Team Unit 42 von Palo Alto Networks + Seit den frühen Tagen des Internets zählen E-Mail-Angriffe zu den am häufigsten genutzten Methoden, um Schadsoftware zu verbreiten oder sich ersten Zugang zu fremden Systemen zu verschaffen. Eine besonders raffinierte Technik dabei: der sogenannte Homograph-Angriff. Cyberkriminelle manipulieren dabei gezielt Inhalte, indem sie vertraute Buchstaben durch täuschend ähnliche Zeichen aus anderen Unicode-Blöcken ersetzen – mit dem Ziel, Spamfilter und Analyse-Tools zu umgehen und Nutzer zu täuschen.

Das Threat Research Team Unit 42 von Palo Alto Networks liefert nun seltene Einblicke in reale Fälle dieser Art. In drei dokumentierten Szenarien gelang es Angreifern, mithilfe von Homographen legitime E-Mail-Adressen oder Inhalte vorzutäuschen. Dabei setzten sie die Technik gezielt in verschiedenen Bestandteilen der Nachricht ein – vom Domainnamen bis zur Betreffzeile –, um natürliche Sprachverarbeitungssysteme zu überlisten und in die Posteingänge der Opfer zu gelangen.

Die Strategie ist perfide: Indem die manipulierten E-Mails auf den ersten Blick seriös wirken, steigt die Wahrscheinlichkeit, dass Empfänger auf Links klicken oder Anhänge öffnen. Da der Erfolg solcher Angriffe stark von der Wahrnehmung der Nachricht abhängt, ist es entscheidend, diese Kommunikation frühzeitig zu erkennen und zu blockieren.

Technologie gegen Täuschung

Kunden von Palo Alto Networks sind hierbei im Vorteil. Die Cortex Advanced Email Security analysiert nicht nur Inhalte und Header, sondern auch Kommunikationsmuster, um verdächtige Nachrichten zu identifizieren. In Kombination mit Cortex XSOAR lassen sich kompromittierte E-Mails automatisiert isolieren, schadhafte Absender blockieren und gefährdete Konten deaktivieren.

Zusätzlichen Schutz bietet das Add-on Attack Surface Management für Cortex XSIAM. Mit dem integrierten Digital Risk Protection erkennt es potenziell riskante Dienste – einschließlich solcher, die Homograph-Techniken nutzen.

Unit 42: Nicht alles ist, wie es scheint. Gerade in Zeiten zunehmender digitaler Bedrohungen sind intelligente Schutzmechanismen und Sensibilisierung essenziell, um Homograph-Angriffen einen Schritt voraus zu sein.

Was auf den ersten Blick wie ein ganz normaler Text aussieht, kann sich bei genauerem Hinsehen als raffinierter Täuschungsversuch entpuppen. So etwa beim Wort „Ηоmоgraph“ im Titel eines Artikels von Unit 42: Für das menschliche Auge wirkt es korrekt geschrieben – doch tatsächlich verbirgt sich darin ein gezielter Trick. Statt lateinischer Buchstaben wurden ähnliche Zeichen aus anderen Schriftsystemen verwendet – etwa das griechische „Η“ statt eines lateinischen „H“ oder das kyrillische „о“ anstelle des vertrauten „o“.

Täuschung durch Ähnlichkeit

Diese Masche ist Kern eines sogenannten Homograph-Angriffs. Dabei nutzen Cyberkriminelle visuelle Ähnlichkeiten zwischen Buchstaben aus unterschiedlichen Unicode-Zeichensätzen – etwa dem Griechischen, Kyrillischen oder Arabischen –, um Wörter zu fälschen. Für den Menschen wirken solche Begriffe völlig unauffällig. Für Sicherheitssoftware oder große Sprachmodelle hingegen handelt es sich um völlig andere Zeichenfolgen – was sie anfällig für Täuschungen macht.

Ein klassisches Beispiel: Der Markenname „Airplanes R Us“ wird manipuliert zu „Airplаnes R Us“ – mit einem kyrillischen „а“ statt des lateinischen Pendants. Der Unterschied ist kaum erkennbar, doch eine betrügerische E-Mail mit diesem Namen kann problemlos durch Filter schlüpfen und beim Empfänger den Eindruck eines legitimen Absenders erwecken.

Ein alter Trick in neuem Gewand – verstärkt durch KI

Was diesen Angriffsvektor heute besonders gefährlich macht, ist die Kombination mit Künstlicher Intelligenz. Angreifer können mithilfe von KI täuschend echte E-Mails verfassen – glaubwürdig im Ton, professionell in der Form. Wird das zusätzlich mit Homograph-Techniken verknüpft, entstehen Phishing-Nachrichten, die kaum mehr von echten E-Mails zu unterscheiden sind.

Mehrschichtige Manipulation mit konkreten Zielen

Homograph-Angriffe stehen selten für sich allein, sondern sind häufig Teil umfassender Angriffskampagnen. Die Manipulation betrifft nicht nur den Textinhalt, sondern auch Absenderadressen, Betreffzeilen oder eingebettete Links. Die Ziele sind dabei klar:

• Täuschung der Empfänger: Die visuelle Ähnlichkeit zu bekannten Marken oder Personen erhöht das Vertrauen in die Nachricht.

• Umgehung von Sicherheitsmechanismen: Viele Filter erkennen die subtile Zeichenveränderung nicht und lassen manipulierte E-Mails passieren.

• Missbrauch von Markenidentität: Die exakte Nachahmung bekannter Namen oder Rollen erhöht die Wahrscheinlichkeit, dass Empfänger auf die Nachricht reagieren.

Homograph-Angriffe sind ein lehrbuchartiges Beispiel dafür, wie altbekannte Täuschungsmethoden mit modernen Technologien wie KI zu einer hochgefährlichen Waffe im Cyberkrieg werden können. Sie unterstreichen die Notwendigkeit fortschrittlicher Sicherheitslösungen – und eines geschulten Blicks für das, was auf den ersten Blick normal erscheint.

Beobachtungen zur Verwendung der Homograph-Technik bei Phishing-Angriffen

Die Analyse von E-Mail-Nachrichten, die Homograph-Angriffe enthalten, zeigt folgende wichtige Techniken auf:

• Vortäuschung bekannter Marken
• Vortäuschung von Diensten (z. B. Plattformen für die gemeinsame Nutzung von Dokumenten, IT-Mitarbeiter)

Angreifer manipulieren Zeichen in den Anzeigenamen von E-Mails, um sie legitimen Entitäten anzupassen, sodass Empfänger betrügerische Nachrichten nur schwer erkennen können. Diese Nachrichten enthalten wahrscheinlich auch Homographen in anderen Kopfzeilen, damit die E-Mails als legitim erscheinen.

Die folgenden Fallstudien, die in der Praxis beobachtet wurden, veranschaulichen die Verwendung von Homographen in verschiedenen E-Mail-Kopfzeilen und -Feldern und verdeutlichen die Bedrohung. Diese Fallstudien beziehen sich auf verschiedene E-Mail-Homograph-Angriffsszenarien, die ähnlichen Mustern folgen.

Fallstudie 1: Dateifreigabe über Google Drive

In diesem Angriffsszenario haben Angreifer eine Datei über Google Drive freigegeben. Sie verwendeten ein E-Mail-Konto, dessen Anzeigename und Google-Kontologo denen eines bekannten multinationalen amerikanischen Unternehmens ähnelten, das Finanzdienstleistungen wie Online-Banking anbietet.

Die E-Mail-Adresse selbst hatte nichts mit dem nachgeahmten Unternehmen zu tun, aber der Kontoname enthielt homographische Zeichen, um das Aussehen des Firmennamens zu imitieren. Unit 42 hat diese Informationen unkenntlich gemacht, um die Privatsphäre der nachgeahmten Organisation zu schützen.

Die integrierten Sicherheitsfilter konnten dies nicht als Identitätsdiebstahl erkennen oder den Inhalt als bösartig einstufen. Abbildung 1 zeigt eine redigierte Version der E-Mail.

Abbildung 1. Eine E-Mail, in der mitgeteilt wird, dass eine Datei über Google Drive für das Ziel freigegeben wurde. / Quelle: Palo Alto Networks

Die Angreifer gaben Dokumente frei, in denen „verdächtige Einträge“ im Konto des Ziels diskutiert wurden, und forderten das Ziel auf, Maßnahmen zu ergreifen, indem es auf die Schaltfläche „VERIFY“ (Überprüfen) in der Datei klickt, wie in Abbildung 2 dargestellt.

Abbildung 2. In dem Dokument, das für das Ziel freigegeben wurde, leitet die Schaltfläche „VERIFY“ (Überprüfen) das Ziel auf eine von den Angreifern kontrollierte Website weiter./ Quelle: Palo Alto Networks

Obwohl die Website (messageconnection.blob.core[.]windows[.]net) zum Zeitpunkt der Untersuchung nicht erreichbar war, ist es wahrscheinlich, dass der Angreifer sie zum Diebstahl von Anmeldedaten oder möglicherweise sogar zum Ausnutzen der Workstation eines Ziels, das darauf zugegriffen hat, verwendet hätte.

Fallstudie 2: Links zu Dokumenten zur Überprüfung und elektronischen Unterzeichnung

In einem weiteren von Unit 42  untersuchten Angriffsszenario verwendeten die Angreifer Homographen, um sich als Plattformen zum Austausch elektronischer Dokumente auszugeben. Diese Plattformen werden zur elektronischen Unterzeichnung von Verträgen, Vereinbarungen und anderen Dokumenten verwendet.

In diesem Fall teilten die Angreifer Links, die angeblich zu unterschriftsreifen Dokumenten führten. Dieses Dokument forderte potenzielle Opfer auf, auf einen Link zu klicken, der sie zu einer vom Angreifer kontrollierten Website weiterleitete. Obwohl der Angreifer die E-Mail von einer Adresse versandte, die in keiner Verbindung zu einer legitimen Plattform stand, enthielten sowohl der Anzeigename als auch der Betreff dieser E-Mail Wörter mit nicht-lateinischen Homographen (fett markiert):

• Anzeigename: Enthielt die Wörter Сonfidеntiаl und Ꭲiꮯkеt
• Betreff: Enthielt die Wörter Finаnꮯiаl und Տtаtеmеnt

Während diese Unregelmäßigkeiten in diesem Fall leichter zu erkennen sind, geben einige Programme solche Zeichen so wieder, dass sie wie lateinische Buchstaben aussehen, wodurch sie schwerer von lateinischen Zeichen zu unterscheiden sind.

Der Betreff enthielt außerdem eine homographische Manipulation des Firmennamens des Ziels, um den Eindruck zu erwecken, dass diese E-Mail vom Unternehmen des Ziels stammt. Dadurch umging die bösartige E-Mail die Erkennung und Filter. Letztendlich stufte die E-Mail-Plattform die Nachricht als gültige E-Mail ein, die den Posteingang des Ziels erreichte.

Die Angreifer gestalteten die verschiedenen Schaltflächen und URLs in der E-Mail und den Benutzeroberflächen so, dass sie das Ziel auf eine gefälschte Anmeldeseite führten. Sie passten die URL der Anmeldeseite an die Organisation des Ziels an und fügten ein speziell angefertigtes CAPTCHA hinzu, um Bots und Crawler herauszufiltern.

In diesem konkreten Beispiel erschien der Name des Ziels im Abschnitt „Zugewiesen an“, sodass die E-Mail so aussah, als wäre sie speziell für diese Person erstellt worden. Der Inhalt der E-Mail selbst zeigte den Firmennamen im PDF-Dateinamen und im Abschnitt „Powered by“. Der Angreifer fügte außerdem das DocuSign-Branding und Informationen zum Inhalt der E-Mail hinzu.

All diese Aspekte der E-Mail verstärkten den Eindruck, dass ein Mitarbeiter des Zielunternehmens diese Mitteilung über einen echten Dokumentenaustauschdienst versendet hatte. Abbildung 3 zeigt die E-Mail, die so getarnt war, dass sie wie eine Nachricht von DocuSign aussah.

Abbildung 3: E-Mail, in der die Zielperson aufgefordert wird, Dokumente zu unterzeichnen, die „von“ dem Unternehmen der Zielperson stammen. / Quelle: Palo Alto Networks

Durch Klicken auf die Schaltfläche „DOKUMENTE UNTERZEICHNEN“ in der oben gezeigten E-Mail wird das Opfer auf eine Website weitergeleitet, die seriös aussieht und sogar unter einer legitimen Top-Level-Domain (TLD) mit der Endung „.com“ gehostet wird: bestseoservices[.]com. Abbildung 4 zeigt die Benutzeroberfläche, auf der das Opfer aufgefordert wird, auf eine weitere Schaltfläche zu klicken, um seine Identität zu bestätigen. Dieser zusätzliche Schritt soll möglicherweise verhindern, dass Crawler mit der Website interagieren und deren bösartige Natur erkennen.

Abbildung 4. Weiterleitung nach dem Klicken auf „DOKUMENTE UNTERZEICHNEN“. / Quelle: Palo Alto Networks

Durch Klicken auf die Schaltfläche „Verify it’s you“ (Überprüfen Sie, dass Sie es sind) wird eine Reihe von Weiterleitungen ausgelöst, die das Opfer weiter in falscher Sicherheit wiegen sollen. Zunächst wird das Opfer zum Verzeichnis „/templates“ einer legitimen Website einer Gemeinde im Nahen Osten weitergeleitet. Dies dient wahrscheinlich dazu, die böswillige Absicht des Angriffs zu verschleiern.

Die Website zeigt eine Meldung an, dass eine Identitätsprüfung durchgeführt wird. Abbildung 5 zeigt, dass auf dem Bildschirm anschließend die Meldung „SCAN VALIDATED“ (Scan bestätigt) angezeigt wird, was den Eindruck der Legitimität weiter verstärkt. Nach dieser aufwendigen Täuschung wird das Opfer schließlich zu einer Domain unter der TLD .ru (kig.skyvaulyt[.]ru) weitergeleitet, die zum Zeitpunkt der Untersuchung nicht aktiv war.

Abbildung 5. Gefälschte Validierungsseite, die zur Domain .ru weiterleitet. / Quelle: Palo Alto Networks

In einer separaten E-Mail verwendeten die Angreifer in den ersten Phasen des Angriffs eine ähnliche Methode. In diesem Fall wird das Opfer nach dem Klicken auf eine Schaltfläche in einer anderen E-Mail zum Teilen von Dokumenten auf die in Abbildung 6 gezeigte Seite umgeleitet. Der Angreifer hat diese Seite so gestaltet, dass Bots und Crawler herausgefiltert werden, indem das Opfer gezwungen wird, ein Einmalpasswort (OTP) einzugeben, das sich jedes Mal ändert, wenn es eine grüne Zahl eingibt, wie in den Abbildungen 6 und 7 gezeigt.

Abbildung 6. Die Anmeldeseite, die nach der Interaktion mit der E-Mail angezeigt wird und ein benutzerdefiniertes CAPTCHA anzeigt. / Quelle: Palo Alto Networks

Abbildung 7. Der OTP-Code ist dynamisch und ändert sich bei jedem Tastendruck, um Bots und Crawler herauszufiltern. / Quelle: Palo Alto Networks

Nach erfolgreicher Eingabe des OTP-Codes wird eine Seite angezeigt, die eine Microsoft-Domäne imitiert: mlcorsftpsswddprotcct.approaches.it[.]com. Die verschleierten URL-Parameter in Abbildung 8 zeigen das Zielpostfach an.

„Wir vermuten, dass die Angreifer die Website so angepasst haben, dass sie nur für bestimmte Benutzer zugänglich ist, wodurch andere Zugriffsversuche effektiv gefiltert werden. Diese Website war zum Zeitpunkt unserer Untersuchung nicht aktiv,“ so die Sicherheitsforscher.

Abbildung 8. Die Umleitung nach Einfügen des Codes, einschließlich der Ziel-Mailbox. / Quelle: Palo Alto Networks

Fallstudie 3: Versuch einer Identitätsfälschung von Spotify

Der dritte untersuchte Fall betraf eine Identitätsfälschung von Spotify, einem Anbieter von Musik- und Podcast-Streaming. Ein Angreifer versendete eine E-Mail, die angeblich von Sρօtifу stammte, wobei er eine Absenderadresse verwendete, die nicht-lateinische Homographen enthielt, sodass sie optisch nur schwer von einer legitimen E-Mail von Spotify zu unterscheiden war.

Abbildung 9 zeigt die E-Mail, in der behauptet wurde, dass die Spotify-Zahlung des Empfängers nicht durchgeführt worden sei und dass er seine Zahlungsdaten über den angegebenen Link aktualisieren müsse. Dieser Link leitete das Ziel zum legitimen URL-Kürzungsdienst redirects[.]ca weiter, wahrscheinlich um das endgültige Ziel zu verschleiern und einer Erkennung zu entgehen. Wir gehen davon aus, dass dieser gekürzte Link zu einer vom Angreifer kontrollierten Website geführt hätte, die dieser zum Diebstahl von Anmeldedaten oder für andere böswillige Zwecke hätte nutzen können.

Abbildung 9: Die E-Mail, die sich als Spotify ausgibt. / Quelle: Palo Alto Networks

Als dieser Fall untersucht wurde, war der Link nicht mehr aktiv.

Diese Fallstudien zeigen deutlich, dass Angreifer sehr gezielte und überzeugende E-Mails erstellen, die nur schwer von legitimen Nachrichten zu unterscheiden sind. Ohne robuste Erkennungs- und Präventionsmechanismen sind Unternehmen und Einzelpersonen anfällig für diese Angriffe und haben Schwierigkeiten, die in diesen E-Mails eingebetteten bösartigen Links und Aktionsschaltflächen zu erkennen.

Die zunehmende Verbreitung neuer KI-Modelle ermöglicht es Angreifern, überzeugendere und personalisierte E-Mails zu erstellen. Dadurch wird es einfacher, Empfänger dazu zu verleiten, mit schädlichen Inhalten zu interagieren, und schwieriger, authentische Inhalte von betrügerischen zu unterscheiden. Homograph-Angriffe stellen eine zusätzliche Herausforderung für gängige Erkennungsmethoden dar, da Standard-Abwehrmechanismen manipulierten Text nicht erkennen oder automatisch überprüfen.

Ein E-Mail-Sicherheitsmodul, das nach Wörtern sucht, die Warnmeldungen auslösen sollen, erkennt die Wörter „pаssword“, „սrgent“ und „ActᎥoո reɋuired“ nicht als problematisch, da sie Homographen enthalten. Daher erkennt oder verhindert das Modul möglicherweise keine Kommunikation und Websites, die Angreifer für böswillige Zwecke erstellt haben. Dies kann dazu führen, dass manipulierte Eingaben auf unerwartete Weise verarbeitet werden.

Quelle: Palo Alto Neworks

Mehr zum Thema – Unsere Empfehlungen

---