Blog  /  External Attack Surface Management  /  Homograph-Angriffe: Wie Hacker look-alike Domains ausnutzen 

Homograph-Angriffe: Wie Hacker look-alike Domains ausnutzen 

External Attack Surface Management Last updated: 05 Mai 2025
Written By
Marcus White Cybersecurity Specialist, Outpost24

Vor mehreren Jahren entdeckte ein Sicherheitsforscher eine Schwachstelle in Google Chrome, dank der fake Domains durch die Sicherheitsmaßnahmen des Browsers gelangen konnten. Der Forscher registrierte eine Domain, die eigentlich „xn--80ak6aa92e.com“ hieß, aber im Browser als „apple.com“ angezeigt wurde. Das zeigte, wie einfach Benutzer getäuscht werden können. Das ist nur ein Beispiel eines sogenannten Homograph-Angriffs (in Englisch: Homograph Attack), auch bekannt als „Look-A-Like-Domain“.

Homograph-Angriffe nutzen gleich aussehende Zeichen verschiedener Alphabete aus, um legitime Domainnamen zu imitieren, und so selbst vorsichtigere Benutzer zu täuschen. Homograph-Attacken reichen vom Imitieren bekannter Marken bis zu Finanzinstitutionen und stellen ein erhebliches Risiko für den Nutzer dar. In diesem Beitrag, erklären wir die Mechanismen dieser Angriffe und bieten Ihnen praktische Schritte an, damit Sie Ihre Organisation schützen können.

Was sind Homograph-Angriffe?

Ein Homograph-Angriff ist eine Phishing-Technik, bei der Angreifer gleich aussehende Zeichen verschiedener Alphabete ausnutzen, um Benutzer zu täuschen. Beispielsweise sieht in Unicode das kyrillische „а“ (U+0430) genauso aus wie das lateinische „a“ (U+0061). So könnten sie gleich aussehende Zeichen verschiedener Alphabete nutzen, um legitim erscheinende Domainnamen zu erschaffen, die eigentlich bösartig sind. Wenn Benutzer auf diese täuschenden Links klicken, könnten sie zu gefälschten Webseiten mit bösartigen Inhalten weitergeleitet werden. Dadurch könnten beispielsweise ihre Benutzerdaten gestohlen oder ihre Geräte mit Malware infizieren werden.

Benutzer halten sie für legitime Quellen und werden dazu gebracht, gefälschte Websites zu besuchen oder schädliche Software herunterzuladen. Wenn ihr Kollege einer Homograph-Attacke zum Opfer fällt, kann das erhebliche Risiken darstellen. Die Person könnte auf der gefälschten Website unabsichtlich sensible Informationen wie Anmelde-, finanzielle oder persönliche Daten eingeben, die für weitere Attacken ausgenutzt werden können.

Wenn sich der Angreifer als Ihre Organisation ausgibt, könnte er ebenfalls potenzielle Kunden oder Geschäftspartner täuschen und Ihren Ruf schädigen.

Wichtige Anzeichen von Homograph-Angriffe

  • Unicode-Zeichen: Homograph-Angriffe nutzen oft die Verwendung von Unicode-Zeichen bei internationalisierten Domain-Namen (IDNs) aus. Diese Zeichen können normalen ASCII-Zeichen sehr ähnlich sehen, und Benutzern so das Unterscheiden zwischen legitimer und bösartiger Domains erschweren.
  • Punycode: IDNs sind oft mit Punycode verschlüsselt, ein Format, das Unicode-Zeichen als ASCII anzeigt. Beispielsweise könnte eine Domain wie „exаmple.com“ (in der das „а“ ein kyrillisches „a“ ist) als „xn--exmple-9cf.com“ verschlüsselt sein. Das Verstehen und Erkennen von Punycode kann dabei helfen, potenzielle Homograph-Attacken zu identifizieren.
  • Vorbereitete Phishing-Kits: Angreifer nutzen oft vorbereitete Phishing-Kits, die aus Vorlagen, Skripten und Tools bestehen, um täuschende Homograph-Domains und Phishing-Seiten zu erstellen. Diese Kits können im Darknet gekauft werden. So können selbst weniger technisch versierte Angreifer Homograph-Angriffe ausführen.
  • Ausnutzung von Vertrauen: Homograph-Attacken basieren oft auf Social-Engineering-Techniken, um Benutzer zu täuschen. Sie imitieren vertrauensvolle Marken oder Organisationen, um so das Vertrauen der Benutzer auszunutzen, und effektiver anzugreifen.

Wie läuft ein Homograph-Angriff ab?

Ein Homograph-Angriff kann verschieden ablaufen, aber hier ist ein typisches Schritt-für-Schritt-Szenario:

  1. Domain-Registrierung: Der Angreifer registriert einen Domainnamen, der einer legitimen, bekannten Website sehr ähnlich sieht. Als einfaches Beispiel könnten sie „g00gle.com“ anstatt „google.com“ nutzen, wobei sie das „o“ mit der Nummer „0“ austauschen.
  2. Phishing: Der Angreifer sendet potenziellen Opfern eine Phishing-E-Mail. Die E-Mail könnte nach einer vertrauensvollen Quelle aussehen, beispielsweise von einer Bank oder einem beliebten Dienstanbieter. Die E-Mail beinhaltet einen Link, der legitim aussieht, aber eigentlich zur bösartigen Website des Angreifers führt.
  3. Benutzer-Interaktion: Das Opfer klickt auf den sicher erscheinenden Link. Die bösartige Website ist darauf ausgelegt, genau wie die legitime auszusehen: Sie besitzt ein ähnliches Layout, Logo und einen ähnlichen Inhalt.
  4. Datendiebstahl: Auf der gefälschten Website könnte das Opfer dazu aufgefordert werden, sensible Informationen wie Anmelde-, Kredit- oder persönliche Daten einzugeben. Der Angreifer speichert diese Informationen und nutzt sie für betrügerische Aktivitäten.
  5. Malware-Verteilung: In manchen Fällen könnte die gefälschte Website auch Malware verteilen. Wenn das Opfer auf bestimmte Links klickt oder Dateien herunterlädt, könnte das unbeabsichtigt bösartige Software auf dem Gerät installieren.
  6. Weitere Ausnutzung: Der Angreifer kann gestohlene Informationen nutzen oder auf das Gerät des Opfers zugreifen, um zusätzliche bösartige Aktivitäten wie Identitätsdiebstahl, Finanzkriminalität oder eine weitere Malware-Verteilung durchzuführen.

Wie können Homograph-Angriffe identifiziert und verhindert werden?

Das Identifizieren und Verhindern von Homograph-Angriffe kann grundlegend sein, um die Sicherheit und das Vertrauen Ihrer Organisation weiterhin zu gewähren. Hier sind die wichtigsten und effektivsten Möglichkeiten:

  1. Schulung und Training für Benutzer:
    • Reguläre Schulungen: Nehmen Sie regelmäßig Cybersecurity-Schulungen vor, um Mitarbeiter über Homograph-Angriffe und Maßnahmen zur Identifikation zu informieren.
    • Phishing-Simulationen: Führen Sie Phishing-Simulationen durch, um das Identifizieren verdächtiger E-Mails und Links der Mitarbeiter zu testen und zu verbessern.
    • URL-Verifizierung: Üben Sie Benutzer im Verifizieren von URLs, indem sie nach HTTPS suchen und den Domainnamen sorgfältig überprüfen. Ermutigen Sie Benutzer dazu, URLs direkt im Browser einzugeben, anstatt auf Links in E-Mails zu klicken.
  2. Multi-Faktor-Authentifizierung (MFA):
    • Implementierung von MFA: Richten Sie für alle Benutzerkonten eine Multi-Faktor-Authentifizierung ein, um einen größeren Schutz als Benutzernamen und Passwörtern allein zu gewähren.
  3. Domain-Überwachung:
    • Überwachung ähnlicher Domains: Nutzen Sie Domain-Überwachungsdienste, um verdächtige Domainregistrierungen zu identifizieren und zu blocken, die der Domain Ihrer Organisation ähneln.
    • Marken-Schutzdienste: Verwenden Sie Marken-Schutzdienste, die beim Identifizieren und Entfernen bösartiger Domains helfen können.
    • Entfernen von Domains: Wenn Sie eine bösartige Homograph-Domain entdecken, können Sie diese beim Domain-Registrar melden oder sie durch rechtliche Schritte entfernen lassen.
  4. Sicherheitstools und -software:
    • Browser-Erweiterungen: Ermutigen Sie die Verwendung von Browser-Erweiterungen, die Homograph-Attacken identifizieren und blocken können.
    • Sicherheits-Software: Verwenden Sie eine fortschrittliche Sicherheits-Software und Firewalls, die bösartigen Datenverkehr identifizieren und blocken können.
    • Browser-Einstellungen: Manche Webbrowser verfügen über Einstellungen, die zum Vermeiden von Homograph-Angriffen beitragen können. Beispielsweise können Sie Ihren Browser so einstellen, dass er immer Punycode anstatt Unicode bei IDNs anzeigt.
    • DNS Sicherheits-Erweiterungen (DNS-Security-Extensions, DNSSEC): DNSSEC kann dabei helfen, die Authentizität von DNS-Daten zu verifizieren. Das erschwert es Angreifern, den Verkehr auf bösartige Websiten umzulenken.
  5. E-Mail-Filter:
    • Fortschrittliche E-Mail-Filter: Verwenden Sie fortschrittliche E-Mail-Filter, um Phishing-E-Mails mit Homograph-URLs zu identifizieren und zu blocken.
    • SPF, DKIM und DMARC: Nutzen Sie „Sender-Policy-Framework“ (SPF), „DomainKeys-Identified-Mail“ (DKIM) und „Domain-based Message Authentication, Reporting, and Conformance“ (DMARC), um Ihre E-Mail-Sicherheit zu verbessern.
  6. Reguläre Sicherheit-Audits:
    • Vulnerability-Scans: Führen Sie regulär Scans und Penetrationstests durch, um potenzielle Schwachstellen in Ihren Sicherheitsmaßnahmen zu identifizieren und zu beheben.
    • Sicherheitsrichtlinien: Stellen Sie sicher, dass die Sicherheitsrichtlinien aktuell sind und alle Mitarbeiter sie kennen und einhalten.
  7. Incident Response:
    • Einen Plan entwickeln: Erstellen Sie einen umfassenden Incident-Response-Plan, der Verfahren für die Identifizierung, Reaktion und Wiederherstellung bezüglich Homograph-Angriffe einschließt.
    • Reguläre Übungen: Führen Sie reguläre Übungen durch, damit Ihre Organisation effektiv mit Sicherheitsvorfällen umgehen kann.
    • Analyse: Führen Sie nach einem Homograph-Angriff eine gründliche Analyse des Vorfalls durch, um den Erfolg des Angreifers und mögliche Gegenmaßnahmen zu erkennen.
    • User-Support: Bieten Sie Benutzern eine klare und sofortige Unterstützung an, die von der Attacke betroffen sein könnten. Das beinhaltet Sicherheitsmaßnahmen für ihre Konten und Betrugsüberwachung.
Identifizieren Sie noch heute Ihre externe Angriffsfläche
Buchen Sie eine kostenlose Analyse

EASM-Tools und Domain-Entdeckung

Heutzutage ist es besonders wichtig, Ihre externe Angriffsfläche zu überwachen und zu inventarisieren. Tools für externes Angriffsflächen-Management (External Attack Surface Management, EASM) helfen Organisationen beim Identifizieren und Überwachen aller in frage kommenden Assets. Bei einer modernen Angriffsfläche kann dies schnell überwältigend werden – besonders bei bisher unbekannten Assets. Mithilfe von KI vereinfacht die EASM Plattform von Outpost24 die Domain-Entdeckung. So gehen Sie sicher, dass alle Domains und Sub-Domains wie auch die damit verbundenen Assets einer Organisation gefunden werden. Das hilft beim:

  • Analysieren und Bewerten relevanter Domains
  • Identifikation von Domains, die sie vermutlich besitzen
  • Entdecken von verdächtigen Domains, wie mögliche Homograph-Domains
  • Rechtzeitiges Erkennen und Reporten jeglicher Unregelmäßigkeiten oder unbefugter Domains

Erfassen der Angriffsoberfläche Ihrer Organisation

Dank der fortschrittlichen Domain-Entdeckung können Homograph-Angriffe identifiziert, vermieden und Ihre Online-Präsenz so geschützt werden. Buchen Sie Ihre kostenlose Analyse noch heute!

FAQ (häufig gestellte Fragen)

Was ist ein Homograph-Angriff?

Bei einem Homograph-Angriff erstellen Cyberkriminelle Domainnamen, die den legitimen sehr ähnlich sehen. Dabei nutzen sie oft Zeichen verschiedener Alphabete, die für das menschliche Auge identisch aussehen.

Wie kann ich mich vor Homograph-Angriffe schützen? 

Sie können sich vor Homograph-Angriffen schützen, indem Sie stets die URL in der Adressleiste Ihres Browsers mit der erwarteten Domain abgleichen. Stellen Sie ihren Webbrowser so ein, dass er Punycode anstatt Unicode bei IDNs anzeigt, um so einfacher verdächtige Domains zu erkennen. Denken Sie darüber nach, in ein EASM-Tool mit Domain-Discovery-Feature zu investieren.

Wie sollte ich vorgehen, wenn ich einen Homograph-Angriff vermute? 

Wenn Sie einen Homograph-Agriff vermuten, sollten Sie auf keinen Fall auf verdächtige Links klicken oder persönliche Daten eingeben. Benachrichtigen Sie sofort die IT oder das Sicherheitsteam Ihrer Organisation. Wenn ein persönliches Konto angegriffen wird, melden Sie das dem entsprechenden Dienstanbieter.

Beratungstermin vereinbaren!

About the Author

Marcus White Cybersecurity Specialist Headshot schwarzes T-shirt
Marcus White Cybersecurity Specialist, Outpost24

Marcus ist ein in Großbritannien ansässiger Cybersicherheitsspezialist von Outpost24. Er arbeitet seit über 8 Jahren in der B2B-Tech-Branche und hat eng mit Produkten für E-Mail-Sicherheit, Schutz vor Datenverlust, Endpunktsicherheit und Identitäts- und Zugriffsverwaltung gearbeitet.