Phishing prawie nie do wykrycia – jeszcze jeden powód, żeby wpisywać adresy ręcznie

analityk Bankier.pl

Mogłoby się wydawać, że widząc właściwy adres w pasku przeglądarki, a obok zieloną ikonkę kłódki możemy być pewni, że jesteśmy na oryginalnej stronie. Chiński badacz bezpieczeństwa zaprezentował jednak metodę, która pozwala wyprowadzić w pole nawet bardzo ostrożnego internautę. Co gorsza, nie ma jeszcze na nią lekarstwa.

Phishing polega na zwabieniu nieświadomego użytkownika na stronę łudząco podobną do oryginalnego serwisu, np. logowania do bankowości internetowej. Do tej pory piętą achillesową takich podróbek był zwykle adres widoczny w pasku przeglądarki. Czasem przestępcy chwytali się różnych trików, by upodobnić go do właściwego (np. dodając jeden człon – bank.pl.com).

Użycie w nazwie domeny znaków spoza alfabetu łacińskiego może posłużyć do skutecznego phishingu
Użycie w nazwie domeny znaków spoza alfabetu łacińskiego może posłużyć do skutecznego phishingu (fot. imagoChristian OhdeEAST NEWS / )

Chiński badacz Xudong Zheng zaprezentował metodę, która pozwala stworzyć fałszywkę niezwykle trudną do odróżnienia od oryginału. Efekt można zobaczyć na tej stronie demonstrującej koncept. Użytkownicy przeglądarek Chrome, Firefox i Opera powinni zobaczyć w pasku adresu ciąg znaków „apple.com”, sugerujący, że odwiedzają oryginalną stronę firmy z Cupertino. W dodatku serwis korzysta z protokołu SSL, czyli obok adresu widoczna jest usypiająca czujność ikonka kłódki. Zawartość strony oczywiście nie pochodzi z serwera Apple i mogłaby służyć do wyłudzania danych.

Strona przypominająca serwis Apple stworzona przez chińskiego eksperta
Strona przypominająca serwis Apple stworzona przez chińskiego eksperta (xudongz.com)

W tej sztuczce wykorzystano w sprytny sposób możliwość użycia znaków z innych niż łaciński alfabetów w domenie internetowej. Zwykle adresy takie widoczne są w mniej czytelnej formie (w powyższym przykładzie byłoby to „xn--80ak6aa92e.com”) z użyciem tzw. ponycode. Jeśli jednak cały adres stosuje znaki z tego samego zestawu, np. cyrylicy, to przeglądarki wyświetlają go w „ładniejszej”, nieprzetworzonej postaci. Adres zapisany używanymi przez Rosjan znakami jest nie do odróżnienia od „apple.com”.

Przeoczenie w sposobie wyświetlania adresów stron internetowych zostanie naprawione w kolejnej wersji Google Chrome. W przypadku Firefoxa użytkownik może sam wymusić w ustawieniach wyświetlanie znaków spoza łacińskiego alfabetu w postaci zakodowanej i w ten sposób uchronić się przed podrobionymi serwisami. W tym celu należy wpisać w pasku adresu „about:config” i znaleźć wpis „network.IDN_show_punycode”, a następnie ustawić jego wartość na „true”.

Ukrycie adresu serwisu za pomocą znaków pochodzących z innych alfabetów może zostać wykorzystane do tworzenia przekonujących phishingowych podróbek. Dlatego warto przypomnieć, że dobrym nawykiem jest ręczne wpisywanie adresów stron (np. banków) i podejrzliwe traktowanie wszelkich wiadomości nakłaniających do klikania w link prowadzący rzekomo do logowania w instytucji. Najlepiej nie korzystać z łącz otrzymywanych w mailach, chociaż niektóre banki nadal umieszczają w swoich komunikatach taki element.

Michał Kisiel

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 1 ~Sylwek

A ja jako, że jestem niewidomy do pracy na kompie używam ScreenReadera i mój program nie da się oszukać po wejściu na spreparowaną stronę odczytuje jej adres w sposób nie możliwy nawet do powtórzenia. W ustawieniach Firefox'a nic nie muszę włączać, ale na wszelki wypadek włączyłem.

! Odpowiedz
1 0 ~Ich-bin-Wurst

Metoda ataku polegająca na wykorzystaniu alfabetów regionalnych pojawiła się jakiś czas po wprowadzeniu domen IDN, czyli x-lat temu.

W starych wersjach Firefoksa można było wyłączyć obsługę IDN i adres zawsze był prezentowany w formie xn-.... Nie wiem jak to wygląda obecnie.

! Odpowiedz
0 5 ~OszirYoutube

Pod xp i starego firefoxa to nie działa bo pojawiają się kwadraty zamiast liter.

! Odpowiedz
1 12 ~VIII

Wartosciowy artykul, dzieki!

! Odpowiedz
1 2 ~niepelnosprawny_org

to było i jest od lat, wystarczy sprawdzić adres, nie klikac w emaile, nieznane strony, download...
ja srawdzam z virustotal com nie chcac ich reklamowac...

! Odpowiedz
0 15 ~bertsi

Niedługo jedynym bezpiecznym sposobem dokonania przelewu będzie odwiedzenie realnego oddziału banku.

! Odpowiedz
2 22 ~As

np. oddziału Amber Gold

! Odpowiedz
1 11 ~prosiak

Moglibyście podać źródło, bo artykuł ewidentnie zerżnięty z Niebezpiecznik.pl

! Odpowiedz
0 1 ~as

Fajny artykuł.

! Odpowiedz
0 5 ~Janusz

Brakuje certyfikatu extended validation, który ma każdy bank

! Odpowiedz

Księgarnia Bankier.pl

Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego ilustracje: Andrzej Mleczko, Robert B. Cialdini Cena: 34,90 zł  Zamów książkę

Porównaj i kup ubezpieczenia turystyczne

Zapisz się na bezpłatny newsletter Bankier.pl