Punycode

So funktioniert es

Browser zeigen internationalisierte Domainnamen in ihrer nativen Schrift an, speichern und auflösen sie aber als Punycode. Eine Domain, die mit einem kyrillischen Buchstaben wie „paypal.com“ aussieht, ist im Hintergrund eigentlich „xn--…“. Manche Browser zeigen als Schutz die Punycode-Form an, aber nicht immer.

Das Lesen des Punycode zeigt, ob eine Domain gemischte oder fremde Schriften enthält, die das Auge nicht erkennt.

Bezug zur Brand-Impersonation

Punycode ist das technische Erkennungsmerkmal hinter Homoglyph-Domains, einem der am schwersten erkennbaren Lookalikes. Es aufzulösen ist der Weg, über den Monitoring Imitationen offenlegt, die identisch zu Ihrer echten Domain aussehen.

So hilft nebty

Das Domain Monitoring von nebty dekodiert Punycode und markiert Mixed-Script-Registrierungen, die auf Ihre Brand zielen, sodass Homoglyph-Lookalikes zur Prüfung und für einen Takedown auf Abruf auffallen.

Die xn--Form lesen

Punycode ist nur eine Kodierung, kein Angriff für sich, doch es zu lesen ist der Weg, eine Homoglyph-Domain zu enttarnen. Jede internationalisierte Domain wird im DNS als ASCII gespeichert, beginnend mit xn--, gefolgt von einer kodierten Darstellung der Originalzeichen. Eine normale internationalisierte Brand, etwa eine deutsche Seite mit Umlaut, hat eine legitime xn--Form. Der verdächtige Fall ist eine Domain, die im Browser wie reiner lateinischer Text aussieht, aber zu einer xn--Zeichenkette auflöst, denn das heißt, dass mindestens ein Zeichen nicht das ist, was es scheint. Sie müssen es nicht von Hand dekodieren; der Punkt für Verteidiger ist, dass jedes Erkennungssystem Domains in ihre Punycode-Form normalisieren muss, bevor es sie mit Ihrer Brand vergleicht, sonst sieht ein Homoglyph-Lookalike für das Auge wie ein exakter Treffer und für einen naiven Filter wie eine völlig andere Zeichenkette aus.