Skip to main navigation Skip to main content Skip to page footer
p-square GmbH - Logo p-square GmbH - Logo

Täuschend echt: Lookalike-Domains locken Unternehmen und Kunden in die Falle

Created by Marcel Abts |

Ein gültiges Zertifikat, eine scheinbar korrekte Domain und trotzdem ein erfolgreicher Phishing-Angriff: Homographische Angriffe nutzen Verwechslungsdomains, um selbst moderne Sicherheitsmechanismen auszuhebeln. Erfahren Sie, wie diese Angriffe funktionieren, warum klassische Schutzmaßnahmen oft nicht ausreichen und was Unternehmen konkret tun können.

Cyberkriminelle entwickeln ständig neue Methoden, um Unternehmen und deren Kunden zu täuschen. Eine dieser Methoden sind homographische Angriffe, die sich besonders raffiniert tarnen und auf den ersten Blick kaum zu erkennen sind.

Ein Geschäftspartner von Ihrem Unternehmen hat eine E-Mail erhalten. Darin: die Bitte, Zahlungsdaten zu aktualisieren. Doch Vorsicht: die E-Mail stammt gar nicht von Ihrem Unternehmen. Ein Phishing-Angriff. Soweit nichts Besonderes.

Anders als sonst war der Empfänger aber vorsichtig:

  • Die IT-Abteilung hat Lösungen implementiert, die DMARC beachten, SPF überprüfen und die DKIM-Signaturen validieren – nur: die Signatur war gültig, der versendende Mailserver war im SPF Record der Domain aufgeführt.
  • Die Website, auf die der Link zeigt: sieht echt aus. In der Adresszeile des Browsers erkennt man die korrekte Domain. Auch ein gültiges Zertifikat ist vorhanden.

Trotzdem war E-Mail und Website Teil eines Phishing-Angriffs. Wie kann das sein?

Die Antwort könnte lauten: Es war gar nicht die Domain Ihres Unternehmens, sie sah nur so aus.

Der Fachbegriff dafür ist „homograph attack“ oder auf Deutsch: ein homografischer Angriff – manchmal auch „lookalike-Angriff“ oder „IDN-Phishing“ genannt.

Was sind homographische Angriffe?

Ein homographischer Angriff nutzt aus, dass es inzwischen nicht nur Domains mit dem sogenannten ASCII-Zeichensatz (a-z, 0-9 und Bindestriche) gibt, sondern auch eine Vielzahl anderer Unicode-Zeichen. Zum Beispiel Umlaute wie ä, ü, ö. Oder auch kyrillische Buchstaben, griechische, arabische Zeichen.

Problematisch ist dabei: es gibt in anderen Zeichensätzen, insb. in kyrillischen und griechischen, Zeichen, die lateinischen Buchstaben zum Verwechseln ähnlich sind.

Was der Angreifer also getan hat: Einen täuschend ähnlichen, aber technisch gesehen anderen Domainnamen zu erstellen.

Angreifer registrieren Webadressen, die dem Original stark ähneln, die aber andere Schriftzeichen verwenden.

Beispiel:

  • Original: p-square.digital
  • Gefälscht: р-square.digital (das „r“ sieht gleich aus, ist aber kyrillisch). Technisch gesehen lautet der Domainname „xn--square-1ve.digital“. Dargestellt wird er jedoch im Browser und im E-Mail-Client als р-square.de.

Das Ziel ist, Benutzer zu täuschen, damit sie vertrauliche Daten wie Login-Informationen, Kreditkartendaten oder Geschäftsinterna eingeben.

Warum sind homografische Angriffe so gefährlich?

Täuschend echt: Gefälschte Domains sind visuell kaum unterscheidbar.

Phishing-Risiko: Gefälschte Seiten führen zu Datendiebstahl oder sogar Vermögensschäden.

Umgehung von Sicherheitsmaßnahmen: Weil die Domain ja dem Verwender wirklich gehört, können auch viele Schutzmechanismen für E-Mail-Sicherheit wie DMARC, DKIM, SPF oder Schutz im Web wie die Domainvalidierung von Zertifikaten ausgetrickst werden

Reputationsschaden: Kunden verlieren Vertrauen, wenn sie auf Fake-Seiten gelangen.

Tun die Regierungsstellen für Domains nichts dagegen?

Doch, zum Teil schon. Beispielsweise schränkt die DENIC, die Vergabestelle für .de-Domains, die möglichen Zeichen streng ein. Es gibt ja schließlich keinen Grund, warum in einer deutschen .de-Domain ein griechischer Buchstabe enthalten sein soll.

Mögliche Zeichen findet man auf der Website der DENIC:

Es sind aber neben den Buchstaben des Alphabets immer noch 93 Sonderzeichen zugelassen.

Bei generischen Domains wie der .com sieht es schon schwieriger aus. Weil diese in vielen Ländern genutzt werden, sind natürlich auch viel mehr Zeichen zugelassen. Allerdings zumindest die Kombination verschiedener Zeichensätze, wie z.B. griechisch mit kyrillisch, wird unterbunden.

Bedingungen für .de-Domains (DENIC)

  • Unterstützt: ä, ö, ü, ß sowie europäische Sonderzeichen (é, ñ, č, ł etc.).
  • Kein Support für kyrillisch, griechisch oder asiatische Schriftzeichen.
  • Keine Mischung unterschiedlicher Schriftsysteme.
  • https://www.denic.de/wissen/idn-domains#code-192-0

Bedingungen für .com-Domains (Verisign)

  • Unterstützt viele Schriftarten, inkl. lateinisch, kyrillisch, griechisch, arabisch, chinesisch.
  • Meist nur ein Schriftsystem pro Domain erlaubt, Mischungen eingeschränkt.
  • Höheres Risiko für Homograph-Angriffe, da mehr Zeichenvarianten zugelassen sind.

Schutzmaßnahmen für Unternehmen

Man ist dem jedoch nicht ganz schutzlos ausgeliefert. Es gibt verschiedenen Maßnahmen, die man ergreifen kann. Sowohl, um sein eigenes Unternehmen vor Angriffen zu schützen, aber auch Geschäftspartner und Kunden vor homographischen Angriffen zu bewahren.

1. Defensives Domain-Management

Ein Schritt wäre, proaktiv Domains zu sichern, die der Marke bzw. dem Domainnamen des Unternehmens ähneln.

Das können klassisch Tippfehlervarianten sein, aber eben auch Varianten mit anderen Unicode-Zeichensätzen sein.

Sichern Sie proaktiv Domains, die Ihrer Marke ähneln, z. B. durch Tippfehler-Varianten oder alternative Schreibweisen mit Sonderzeichen. Das verhindert, dass Angreifer diese legal registrieren und für Phishing nutzen können. Insbesondere bei kurzen Domains mit nur wenig austauschbaren Buchstaben ist das eine preisgünstige Variante für einen zuverlässigen Schutz gegen diese Art der Angriffe.

2. Marken- und Domain-Monitoring

Sie können auch Monitoring-Dienste oder professionelle Brand-Protection-Services nutzen, um neue Domain-Registrierungen zu überwachen und potenzielle Bedrohungen frühzeitig zu erkennen. Sie können dadurch aber die Registrierung nicht verhindern, wohl aber frühzeitig Angriffsversuche erkennen und Kommunikationspartner und Kunden warnen.

Es ist auch möglich, eine fremdregistrierte Domain bei Markenrechtsverletzungen durch ein Schiedsgerichtsverfahren übertragen zu bekommen. Das ist aber keine schnelle und einfache Maßnahme. Es fallen Kosten für das Schiedsgerichtsverfahren und für die Vertretung durch Anwälte, die sich mit solchen Markenrechtsstreitigkeiten auskennen, an. Zudem dauert das Verfahren mitunter mehrere Wochen. Dazu kommt, dass die Erfolgsaussichten stark von der jeweiligen Marke und der missbräuchlichen Verwendungen abhängen.

3. Technische Sicherheitsmaßnahmen umsetzen

Auch wenn sie gegen offiziell registrierte Fake-Domains nicht helfen, sollte man technische Sicherheitsmaßnahmen wie

  • DNSSEC: Sichert Ihre Domain vor Manipulation von DNS-Einträgen.
  • HSTS (HTTP Strict Transport Security): Erzwingt HTTPS-Verbindungen und reduziert Risiken.
  • Content Security Policy (CSP): Schränkt die Ausführung fremder Skripte ein.
  • SPF (Sender Policy Framework): sagt Mailservern, von welchen Servern E-Mails für eine bestimmte Domain verschickt werden dürfen.
  • DKIM (DomainKeys Identified Mail): signiert ausgehende E-Mails kryptografisch, sodass der Empfänger prüfen kann, ob sie unterwegs verändert wurden.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): baut auf SPF und DKIM auf und definiert, wie der Empfänger mit Mails umgehen soll, die nicht autorisiert sind (reject/quarantine/none).

trotzdem umsetzen – denn die Nutzung von offiziell registrierten Fake-Domains ist aufwändig und kostet auch den Angreifer Geld – daher wird der Großteil der Angriffe mit klassischem Phishing erfolgen. Und auch das defensive Domainmanagement ist nur dann wirksam, wenn Angreifer hier keine Lücken ausnutzen können.

4. Mitarbeiter- und Kundensensibilisierung

Schulen Sie Ihre Teams regelmäßig zu IT-Sicherheit und Phishing-Erkennung. Informieren Sie auch Ihre Kunden über Ihre offiziellen Domains und geben Sie Tipps zum sicheren Umgang mit Links. Zum Beispiel, dass man keinen Links in E-Mails folgt, sondern die Adresse lieber selbst im Browser eingibt. Dann ist ausgeschlossen, dass man auf Fake-Domains gelangt. Machen Sie es dem Kommunikationspartner aber einfach, indem URL kurz und leicht schreibbar sind.

Auch bei QR Codes sollte man besondere Vorsicht walten lassen - auch hier lassen sich gefälschte Domains einschleusen. Mitarbeiter sollten nur QR Codes aus vertrauenswürdiger Quelle folgen.

Wenn man von extern eingehende E-Mails noch zusätzlich kennzeichnet, gibt man dem Mitarbeitenden noch entscheidende Hinweise. Scheinbar eine E-Mail von der eigenen Firma, aber als extern gekennzeichnet? Das ist ein deutliches Warnsignal.

5. E-Mail-Sicherheit verbessern

Setzen Sie moderne Sicherheitslösungen ein, die verdächtige Links und Anhänge automatisch prüfen und blockieren, z. B. Advanced Threat Protection. Solche fortgeschrittenen Sicherheitslösungen erkennen auch viele solcher Angriffe.

6. Signaturen können Echtheit verifizieren

Für sensible B2B-Kontakte oder interne Kommunikation wäre noch der Einsatz von Signaturen denkbar, z.B. PGP oder S/MIME. Allerdings mit einigen Einschränkungen:

Der Empfänger muss den öffentlichen Schlüssel des Absenders kennen - nur dann kann die Signatur validiert werden. Und es dürfen nur tatsächlich überprüft echte Schlüssel akzeptiert werden.

S/MIME oder PGP ist ein starker Baustein für Integrität und Authentizität, aber nur ein eingeschränkt wirksames Schutzmittel gegen homographische Angriffe, weil Endnutzer und Standard-Mailclients selten prüfen, ob der Schlüssel zur erwarteten Identität passt.

Bei kritischer Kommunikation zwischen Unternehmen, wo entsprechender Aufwand und technische Lösungen möglich und verhältnismäßig sind, könnten aber Securemail Gateways mit entsprechender Konfiguration einen Beitrag leisten.

7. Eingeschränkte TLDs wie die .de nutzen

Verschiedene TLDs erlauben unterschiedliche Zeichensätze. Ist Ihre E-Mail-Domain zum Beispiel unter der .de, dann sind Lookalike-Domains mit kyrillischen oder griechischen Zeichen gar nicht erst möglich wie z.B. unter der .com.

IDN-Domains – Chancen und Risiken für Unternehmer

Internationalized Domain Names (IDN) ermöglichen es, Sonderzeichen und nicht-lateinische Buchstaben in Domains zu verwenden. Das kann für Marken mit Umlauten oder diakritischen Zeichen nützlich sein, birgt aber Missbrauchsgefahr.

Fazit

Homographische Angriffe sind eine unterschätzte, aber reale Bedrohung für jedes Unternehmen. Wer proaktiv Markenrechte schützt, Sicherheitsmaßnahmen implementiert und sein Team sensibilisiert, minimiert das Risiko von Phishing und Identitätsdiebstahl erheblich und stärkt das Vertrauen von Kunden und Partnern.

Als IT- und Security-Dienstleister unterstützt p-square Unternehmen dabei, genau diese Zusammenhänge transparent zu machen und praxisnah zu bewerten.

Eine strukturierte Beratung kann helfen bei:

  • der Einordnung und Bewertung Ihrer bestehenden E-Mail-Sicherheitsmechanismen (SPF, DKIM, DMARC, Advanced Threat Protection)
  • der Analyse Ihrer Domain- und DNS-Landschaft, inklusive IDN-Risiken und möglicher Lookalike-Domains
  • der Ableitung sinnvoller, verhältnismäßiger Schutzmaßnahmen, die zu Ihrer Unternehmensgröße und Kommunikationsstruktur passen

Gerade für Unternehmen mit externer Kommunikation, Kundenportalen oder sensiblen Geschäftsprozessen lohnt sich ein fundierter Blick auf diese Themen. Eine frühzeitige Auseinandersetzung schafft Klarheit, reduziert Risiken und bildet die Grundlage für belastbare Sicherheitsentscheidungen.

Kontaktieren Sie uns gern, wenn Sie Ihre E-Mail‑, Domain‑ oder DNS‑Sicherheit strukturiert bewerten lassen möchten oder Fragen zu möglichen Schutzmaßnahmen haben. 

Sprechen Sie uns an!

(Link zu unserem CRM - Datenschutzhinweis)

Vergleichstabelle für lateinische und kyrillische Buchstaben
Vergleich von gleich aussehenden lateinischen und kyrillischen Buchstaben
Vergleichstabelle für lateinische und griechische Buchstaben
Vergleich von gleich aussehenden lateinischen und griechischen Buchstaben