Das ist sehr tricky und funktioniert immer noch: Man kann internationalisierte Domainnamen, also Domains, die nicht mit ASCII-Zeichen geschrieben werden so trickreich gestalten, dass sie aussehen wie apple.com oder epic.com. Aufgrund der Punycode-Umschreibung von „xn--80ak6aa92e.com“ erscheint in der Adresszeile des Browsers tatsächlich „apple.com“ (bzw. „epic.com“ bei „xn--e1awd7f.com“). „xn--80ak6aa92e.com“ und „apple.com“ sind homographisch, wie Fachleute sagen.
Um es auszuprobieren: Dieser Link führt auf eine Seite, die sich als „apple.com“ zu erkennen gibt (nicht in allen Browsern; dies ist ein Demo, keine Phisingseite; hier steht, was dahinter steckt: https://www.xudongz.com/blog/2017/idn-phishing/)
Es liegt auf der Hand, dass Hacker und Phisher sich diesen Effekt leicht zunutze machen können. Sie bringen User dazu auf einen Link zu einer Applesite zu klicken, wobei die User tatsächlich auf einer bösartigen Seite landen. Dabei wiegen sich die User in Sicherheit, da man ja auch „apple.com“ in der Adresszeile sieht. Das Problem ist lange bekannt, aber keiner löst es, so The Register UK.
Von Verisign gibt es ein kleines Onlinetool, mit dem man in Punycode geschriebene Domainnamen umwandeln kann (und umgekehrt): http://mct.verisign-grs.com/. Damit kann man den Effekt leicht nachvollziehen ohne das DNS bemühen zu müssen. Das System wurde eingeführt, um auch Zeichen, die nicht zu den ASCII-Zeichen gehören, darstellen zu können. Dazu gehören zum Beispiel die deutschen Umlaute äöü und das ß-Zeichen. Andere
Das Domainnamesystem nutzt allerdings die Zeichenkette xn--80ak6aa92e.com zur Auflösung des Domainnamens. So landet der Besucher auf einer Website, die der Inhaber von xn--80ak6aa92e.com festgelegt hat.
Didn’t we fix this back in 2005? Apparently not
Quelle: That apple.com link you clicked on? Yeah, it’s actually Russian • The Register