Фишинговые атаки через браузеры Chrome и Firefox

15Апр, 2017

Сегодня получил в рассылке письмо на очень важную тему, которая касается системы безопасности любого пользователя интернета. Если вы используете в работе браузеры Google Chrome или Mozilla Firefox – вам это будет полезно узнать. Ниже я попробую адаптировать на русский статью известной компании Wordfence, которая занимается разработкой плагина безопасности для сайтов на WordPress.

«Это анонс безопасности публичной службы Wordfence для всех пользователей браузеров Chrome и Firefox.

В настоящее время в интернет сообществе безопасности наблюдается большое количество фишинг-атак.

Напоминаем: фишинг-атака — это когда злоумышленник отправляет вам электронное сообщение, содержащее ссылку на вредоносный веб-сайт. Вы нажимаете на ссылку, потому что она кажется достоверной. Простое посещение веб-сайта может заразить ваш компьютер, или вас могут ввести в заблуждение при входе на вредоносный сайт с оформлением сайта, которому вы доверяете. Затем злоумышленник получает доступ к вашему имени пользователя, паролю и любой другой конфиденциальной информации, с помощью которой они могут вас обмануть.

Этот вариант фишинг-атаки использует Unicode для регистрации доменов, который выглядят идентично реальным известным доменам. Эти поддельные домены могут использоваться в фишинговых атаках, чтобы обмануть пользователей, например, в подписке на фальшивый веб-сайт, тем самым передав ваши учетные данные злоумышленнику.

Этот эффект наблюдается на текущих версиях браузера Chrome (57.0.2987) и текущей версией Firefox (52.0.2). Это не отображается на браузерах Internet Explorer или Safari.

Мы создали собственный пример, чтобы продемонстрировать, как злоумышленник может зарегистрировать свой собственный домен, который выглядит идентично домену другой компании в браузере. Мы решили сделать копию сайта здравоохранения под названием «epic.com», зарегистрировав наш собственный поддельный сайт. Вы можете посетить наш демонстрационный сайт здесь, в Chrome или Firefox.

Для сравнения вы можете нажать здесь, чтобы посетить настоящий сайт epic.com.

Вот как выглядит настоящий epic.com в Chrome:

Вот наш поддельный epic.com в Chrome:

И реальный epic.com в Firefox:

И вот наш поддельный epic.com в Firefox:

Как вы можете видеть, оба эти домена выглядят одинаково в браузере, но это совершенно разные веб-сайты. Одна из них была зарегистрирована нами сегодня. Наш домен epic.com фактически является доменом https://xn--e1awd7f.com/, но он отображается в Chrome и Firefox как epic.com.

Настоящий сайт epic.com — это сайт здравоохранения. Используя в нашем домене unicode, мы могли клонировать реальный веб-сайт epic.com, затем можем начать отправлять электронную почту людям и пытаться заставить их войти на наш поддельный веб-сайт здравоохранения, который передал бы нам ваши учетные данные. Затем мы можем получить полный доступ к их медицинским записям или другим конфиденциальным данным.

Нам даже удалось получить сертификат SSL для нашего поддельного домена у LetsEncrypt. Получение сертификата SSL заняло у нас 5 минут, и это было бесплатно. Сделав это, мы получили надпись: «Безопасный» рядом с нашим доменом в Chrome и маленький зеленый символ замка в Firefox.

Как это возможно?

Префикс xn-- это то, что известно, как префикс ‘ASCII-совместимая кодировка’. Он позволяет браузеру знать, что домен использует кодировку «punycode» для представления символов Unicode. В переводе на обычный язык это означает, что, если у вас есть доменное имя с китайскими или другими международными символами, вы можете зарегистрировать доменное имя с обычными AZ-символами, что может позволить браузеру представлять этот домен как международные символы в строке адреса.

То, что мы сделали выше, использует символы ‘e’ ‘p’ ‘i’ и ‘c’ unicode, которые выглядят идентично реальным символам, но являются разными символами Юникода. В текущей версии Chrome, до тех пор, пока все символы не кодируются, он покажет вам домен в его интернационализированной форме.

Как исправить это в Firefox:

В строке адреса Firefox введите «about:config» без кавычек.

Сделайте поиск ‘punycode’ без кавычек.

Вы должны увидеть параметр с именем: network.IDN_show_punycode

Измените значение с false на true.

Теперь, если вы попытаетесь посетить наш демонстрационный сайт, вы увидите:

Могу ли я исправить это, если я использую Chrome?

В настоящее время мы не знаем, как это исправить вручную в Chrome. Chrome уже выпустил исправление в своем выпуске «Canary», которая является их тестовой версией. Это будет опубликовано широкой публике в ближайшие нескольких дней.

До тех пор, если вы не уверены, что находитесь на реальном сайте и собираетесь вводить конфиденциальную информацию, вы можете скопировать URL-адрес в адресной строке и вставить его в Notepad или TextEdit на Mac. Он должен отображаться как https: // xn-- … .. версия, если это поддельный домен. В противном случае он будет отображаться как реальный домен в его незакодированной форме, если это реальная вещь.


Распространите эту публикацию

Концепция нападения на гомограф IDN существует с 2001 года, когда об этом впервые писали израильские исследователи Евгений Габрилович и Алекс Гонтмахер.

Веб-браузеры пытались исправить различные ошибки, но текущие реализации в Chrome и Firefox явно не работают достаточно хорошо. К чести Chrome, они собираются исправить это. К счастью, есть исправление вручную для Firefox.

Мы хотели бы призвать вас распространять эту публикацию. Этот новый поворот в фишинге сегодня привлекает большое внимание, пятница 14-го апреля, и делает раунды в настоящее время в сообществе безопасности. Xudong Zheng написал об этом ранее сегодня, и он также обсуждается в подразделении netsec .

Мы считаем, что существует высокая вероятность того, что это может быть использовано в фишинг-атаках до того, как исправление Chrome будет выпущено для широкой публики, и именно поэтому мы публикуем это публичное объявление.»

Ссылка на публикацию — здесь

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *