Punycode a phishing, na který se prý nachytají i bezpečnostní experti – 2. díl
V tomto příspěvku se podíváme, zda je nadále možné zneužívat vlastnosti spočívající v použití speciálních znaků v názvech domén k phishing útokům.
Od posledně se nic zásadního nezměnilo, i když k určitým změnám k lepšímu přeci jen došlo. Ostatně, posuďte sami, jak se s tímto problémem vypořádaly jednotlivé prohlížeče.
Za účelem omezení, tzv. homografních útoků vznikly poměrně komplexní pravidla, jak zacházet s názvy domén zobrazovaných v různých znakových sadách. Problém je, že jednotlivé prohlížeče je implementují různě.
Asi nejbenevolentnější je v tomto směru Mozilla Firefox, které nevadí, když je název domény namixován ze dvou různých znakových sad. Nadále je tak možné vytvářet domény, které obsahují znaky jak z cyrilice, tak i z latinky. Např. doména v punycode zapsaná jako xn--80ak6aa92e.com, je v Mozille stále zobrazena jako аррӏе.com.
Prohlížeče MS Edge a IE toto neumožňují, a vždy zobrazí punycode. Ovšem i ony selžou v okamžiku, kdy je celá doména zapsána v jedné znakové sadě. Stále tak lze generovat domény, které jsou velice podobné originálu, např. faceḅook.com, která se mimochodem v době psaní tohoto článku draží. K čemu asi tak někdo může chtít takovouto doménu?
Google Chrome se chová asi nejrestriktivněji a od verze 65 pak zobrazuje punycode vždy, nebo téměř vždy. Písmeno b s tečkou použité ve výše uvedeném příkladu v názvu domény faceḅook.com pak zobrazí jako punycode, tedy xn--faceook-pm3c.com.
Všimněte si rovněž, že Google Chrome někdy od verze 64 i jinak podtrhává odkazy. Měli byste si tak snáze všimnout, že např. odkaz https://wallet.com/ vás bude směrovat jinam, než https://waḻḻet.com. Jsou to sice drobnosti, ale někdy i to může pomoci.
Štítky: zranitelnosti
K článku “Punycode a phishing, na který se prý nachytají i bezpečnostní experti – 2. díl” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Konkrétní příklad reálného zneužití: https://nakedsecurity.sophos.com/2018/04/04/free-virgin-atlantic-tickets-no-its-a-whatsapp-scam/