31.3 C
Athens
27.6 C
Thessaloniki

Phishing με Unicode Domains: Μπορείτε να εντοπίσετε τη διαφορά στα аa;

Ημερομηνία:

- Διαφήμιση -

Πώς μπορείτε να προστατευτείτε από το Unicode Domain Phishing;

Είναι το URL https://www.аmyna.news/ το πραγματικό όνομα του ιστότοπου; Την απάντηση θα την δώσουμε παρακάτω.

Για να εντοπίσουμε μια απάτη ηλεκτρονικού “ψαρέματος” (phishing), συνήθως εξετάζουμε τους υπερσυνδέσμους για περίεργους τομείς ή ανεπαίσθητες αλλαγές χαρακτήρων (όπως να υπάρχει ο αριθμός “1” στη θέση του πεζού αγγλικού γράμματος “L”). Στο аmyna όμως;

Οι παραδοσιακές μέθοδοι ανίχνευσης σε αρκετές περιπτώσεις δεν ισχύουν. Αυτό είναι δυνατό με επιθέσεις phishing με τομέα Unicode η οποία αναφέρεται επίσης ως επίθεση ομογράφου διεθνοποιημένου ονόματος τομέα (Internationalized Domain Name – IDN).

Κώδικας ASCII

- Διαφήμιση -

Συνήθως, οι διευθύνσεις URL είναι σε κώδικα ASCII, που σημαίνει American Standard Code for Information Interchange. ASCII είναι ένα κωδικοποιημένο σύνολο χαρακτήρων του λατινικού αλφάβητου όπως αυτό χρησιμοποιείται σήμερα στην Αγγλική γλώσσα και σε άλλες δυτικοευρωπαϊκές γλώσσες. Χρησιμοποιείται για αναπαράσταση κειμένου στους υπολογιστές, σε συσκευές τηλεπικοινωνίας, καθώς και σε άλλες συσκευές που δουλεύουν με κείμενο.

Πρότυπο Unicode

Το 2003, προστέθηκε μια προδιαγραφή που επιτρέπει τη χρήση χαρακτήρων Unicode σε ονόματα τομέα. Το Unicode είναι ένα βιομηχανικό πρότυπο για την κωδικοποίηση κειμένου που εκφράζεται στις περισσότερες γραπτές γλώσσες του κόσμου. Η ιδέα πίσω από αυτό ήταν να δοθεί στους διεθνείς χρήστες του Διαδικτύου η δυνατότητα να ακολουθούν συνδέσμους στη δική τους γλώσσα.

Διεθνοποιημένο όνομα τομέα IDN

Το διεθνοποιημένο όνομα τομέα (Internationalized Domain Name – IDN) είναι ένα όνομα τομέα Διαδικτύου που περιέχει τουλάχιστον ένα χαρακτήρα σε μη λατινική γραφή ή αλφάβητο, όπως Ελληνικά, Αραβικά, Κινέζικα, Κυριλλικά. Αυτά τα συστήματα γραφής κωδικοποιούνται από υπολογιστές σε Unicode πολλαπλών byte. Τα διεθνοποιημένα ονόματα τομέα αποθηκεύονται στο σύστημα ονομάτων τομέα ως συμβολοσειρές ASCII χρησιμοποιώντας μεταγραφή Punycode.

Punycode

- Διαφήμιση -

Το Punycode είναι μια ειδική κωδικοποίηση που χρησιμοποιείται για τη μετατροπή χαρακτήρων Unicode σε ASCII. Το Punycode χρησιμοποιείται όπως προαναφέραμε για την κωδικοποίηση διεθνοποιημένων ονομάτων τομέα (IDN).

Έτσι η λέξη “αμυνα” είναι xn--mxaa6ae3b.

Η λέξη “αμυνα” σε κωδικοποίηση Punycode. Τα αναγνωριστικά κωδικοποιημένα με Punycode ξεκινούν με το πρόθεμα “xn--” για να υποδείξουν την έναρξη μιας ετικέτας με κωδικοποίηση Punycode.

Ως αποτέλεσμα των παραπάνω μπορείτε να καταχωρήσετε όνομα τομέα στα ελληνικά. Όπως πχ το αμυνα.com ή το αμυνα.eu στο Papaki καθώς και σε άλλες υπηρεσίες.

Αγορά domain name στο Papaki. Εικόνα (screenhot) Papaki.gr

Επίθεση ομογράφου – “Ψάρεμα” με τομέα Unicode

Η τεχνική ονομάζεται επίθεση ομογράφου καθόσον η διεύθυνση URL περιέχει χαρακτήρα που γράφεται όμοια με κάποιον λατινικό. Η όψη και το περιεχόμενο της παραπλανητικής σελίδας μπορεί να είναι κλώνος της νόμιμης. Στην πραγματικότητα όμως πρόκειται για διαφορετικό ιστότοπο που έχει ρυθμιστεί για να κλέψει τα ευαίσθητα δεδομένα του θύματος ή να μολύνει τη συσκευή του χρήστη.

Επανερχόμαστε στην ερώτηση που θέσαμε στην αρχή. Είναι το URL https://www.аmyna.news/ το πραγματικό της ΑΜΥΝΑΣ;

- Διαφήμιση -

Η απάντηση είναι όχι!

Το “а” στο аmyna είναι το κυριλλικό “а” (Κωδικός Unicode: U+0430) και όχι το λατινικό, ο χαρακτήρας ASCII “a” (U+0061).

Ως ένα ακόμα παράδειγμα δείτε τον τομέα https://www.аррӏе.com/. Ο εν λόγω τομέας ΔΕΝ ΕΙΝΑΙ της Apple, αγοράστηκε από τον Xudong Zheng ως επίδειξη του ελαττώματος στον τρόπο με τον οποίο τα προγράμματα περιήγησης χειρίζονται τους τομείς Unicode και είναι δυνατή η παραπλάνηση των χρηστών.

Η ιστοσελίδα για τον τομέας επίδειξης: “Αυτός ο ιστότοπος προφανώς δεν συνδέεται με την Apple, αλλά μάλλον αποτελεί επίδειξη ενός ελαττώματος στον τρόπο με τον οποίο τα προγράμματα περιήγησης χειρίζονται τους τομείς Unicode.”

Τρόποι για να αποφύγετε μια επίθεση Punycode

Όπως συμβαίνει με τις απειλές που στοχεύουν χρήστες στο Διαδίκτυο, δεν υπάρχουν χρυσοί κανόνες για απόλυτη προστασία. Η επαγρύπνηση είναι το κλειδί και όλοι οι κανόνες για τον εντοπισμό παραδοσιακών ιστότοπων ηλεκτρονικού ψαρέματος εξακολουθούν να ισχύουν και για τους ιστότοπους “ψαρέματος” IDN.

Η πλειονότητα των προσπαθειών phishing εξακολουθούν να φτάνουν στους χρήστες μέσω email και μηνυμάτων στις σχετικές εφαρμογές ανταλλαγής (Viber, Messenger κ.λπ).

Μην κλικάρετε συνδέσμους. Υπάρχουν πολλοί τρόποι με τους οποίους ένας σύνδεσμος μπορεί να σας ξεγελάσει, πληκτρολογείτε πάντα τη διεύθυνση URL με μη αυτόματο τρόπο. Με αυτόν τον τρόπο ξέρετε ότι κατευθύνεστε στον σωστό τομέα.

Τα προγράμματα περιήγησης αρχίζουν να βελτιώνονται στο να προειδοποιούν τους χρήστες όταν επισκέπτονται έναν ιστότοπο με διεθνοποιημένο όνομα τομέα (IDN), ενώ ορισμένοι πλέον εμφανίζουν τη διεύθυνση URL στη γραμμή του προγράμματος περιήγησης στη μορφή Punycode. Αυτό σημαίνει ότι μπορεί να εντοπίσετε ότι επισκέπτεστε το xn--80ak6aa92e.com και όχι το πραγματικό apple.com

Στον browser Opera (έκδοση 85.0.4341.60) και στον Google Chrome (έκδοση 100.0.4896.127) εμφανίζονται σχετικά μηνύματα.

Μέσα στον Firefox, η υποστήριξη του Punycode μπορεί να απενεργοποιηθεί μεταβαίνοντας στο about:config και αλλάζοντας την τιμή στο “network.IDN_show_punycode” σε true.

  1. Πληκτρολογήστε στην μπάρα αναζήτησης about:config και πατήστε enter
  2. Αναζητήστε το network.IDN_show_punycode
  3. Πατήστε στα βελάκια ώστε να αλλάξει η τιμή από false σε true

Αυτό θα κάνει τον Firefox να εμφανίζει την punycode ονομασία και όχι την αναπαράσταση σε ASCII.

- Διαφήμιση -

Ακολουθήστε την ΑΜΥΝΑ

- Διαφήμιση -