Esta técnica de phishing es más interesante que peligrosa

24



No hay escasez de formas de los adversarios se emplean para hacer clic en a través de un sitio web malicioso, algunos técnicos, algunos psicológicos. Este es interesante porque aprovecha una característica útil de los navegadores que usted puede ser que nunca haya pensado.

No todos los sitios web tienen nombres que se pueden escribir en el alfabeto con el que principalmente los países de habla inglesa están familiarizados. ¿Por qué los sitios web rusos no deberían usar caracteres cirílicos o los japoneses usan kanji? Después de todo, Unicode, el estándar para mostrar texto en todo el mundo, soporta todos estos idiomas.

Por desgracia, no es estándar para permitir que todos los caracteres en URIs, y algunos sistemas sólo permiten ASCII estándar. La solución encontrada por las autoridades web era un sistema llamado "punycode" que codifica caracteres internacionales usando la notación ASCII. Los navegadores sabrán que un URI está usando el sistema porque siempre está precedido por los caracteres "xn--".

Todo el proceso se realiza sin informar al usuario; Por lo que "JP 納豆. 例 .jp" se convierte en "xn--jp-cd2fp15c.xn--fsq.jp" en tránsito, pero nunca se ve lo ininteligible de este último, sólo el primero, traducido en su lenguaje pretendido

.

Que la transparencia, el hecho de que punycode no anuncie su uso, es la base para el ataque de phishing. Un atacante puede usar punycode para crear URIs que parezcan normales para el usuario, pero en realidad son totalmente diferentes. Pedro Umbolino en Hackaday mostró cómo esto es posible en un puesto que ciertamente me había engañado.

Varios navegadores, entre ellos Firefox y Chrome, mostraron el enlace en el primer párrafo como lo que aparecía ser apple.com, tanto en línea como en la vista previa del enlace. Pero al hacer clic, va a un lugar totalmente diferente.

De hecho, como se encuentra más adelante en el párrafo o si cambia la configuración en su navegador, las letras en apple.com son realmente creadas por el punycode xn – 80ak6aa92e.

Que forma algo que se parece a apple.com la forma en que los navegadores renderizan el texto, pero si nos fijamos en el URI en ciertas fuentes de monotipo, está claro que hay un clásico de mayúsculas- "I" / minúsculas- "L" Switcheroo, con un toque cirílico:

Inteligente, ¿verdad? Un hacker podría usar esto en un correo electrónico u otro enlace para atraer a un usuario normalmente atento que inspecciona los enlaces sospechosos. Como muestra Umbolino (y esto es un problema aparte), el sitio en el que te engañan para visitar puede incluso imitar el estado HTTPS del sitio real, dándole ese bloqueo verde tranquilizador al lado del URI

.

Sí Devin, pero ¿cómo puedo arreglarlo

Firefox y Chrome fueron los únicos navegadores afectados, en realidad – sólo tenía que hacerlo con los valores predeterminados que tenían para mostrar las cosas punycode. Sin embargo, Chrome 58 (acaba de salir) hace que esas direcciones muestran el UIC punycode completo en la vista previa de enlace, y Firefox tiene un ajuste que lo cambia. Sólo tienes que ir a about: config, poner "punycode" en la búsqueda allí, y cambiar la configuración que viene a "true". Verás el xn – punycode enlaces a partir de ahora – pero recuerde, la mayoría son legítimos! Sólo tenga en cuenta cuándo debe esperar uno y cuando podría ser sombreado.

¡Aprendes algo nuevo todos los días! Bueno, a veces.