Phishing molto pericoloso con una nuova tecnica

Print Friendly

Gli attacchi di phishing che ho segnalato finora sono sempre stati caratterizzati dal fatto che, mentre il sito appariva identico o quasi all’originale, nella barra degli indirizzi del browser appariva un indirizzo completamente differente e, soprattutto, senza https che di solito accompagna il sito reale.

Cominciano purtroppo a essere in circolazione siti che non solo si camuffano perfettamente come il sito reale ma che, e qui sta la pericolosità, mostrano nella barra degli indirizzi del browser l’indirizzo reale del sito contraffatto, elemento che permetteva di scoprire subito che ci si trovava di fronte a un sito contraffatto.

Prova a collegarti a questo sito (tranquillo che è solo un esempio innocuo per dimostrare la tecnica)

https://www.xn--80ak6aa92e.com

Ti aspetterai di vedere nella barra degli indirizzi quello che vedi sopra e invece vedrai

https://www.apple.com

ed è proprio questa la cosa preoccupante perché cade l’unico elemento che puoi avere in mano per capire al volo che ti trovi davanti a un sito contraffatto. Il problema è che tanti verranno tratti in inganno da questa tecnica, perché finora i più avveduti si aspettavano la discrepanza tra sito visualizzato e indirizzo dello stesso, come ho sempre indicato in tutti i post riguardanti il phishing.

Il bug è stato corretto dalla versione 58 di Chrome Mac e Windows, non è invece presente in Safari per Mac e Firefox, per entrambe le versioni Mac e Windows, ha detto che quello è un problema di cui si devono fare carico i registrant dei domini, cioè quelle aziende che si occupano, e sono accreditate, per la registrazione dei domini; posizione alquanto opinabile ma, fortunatamente, esiste un sistema per risolvere il problema.

Leggi anche  Phishing pericoloso con Gmail

Se usi Firefox, scrivi il testo seguente nella barra degli indirizzi

about:config

dai Invio e nel campo che appare in alto nella pagina, scrivi

network.IDN_show_punycode

vedrai che, nella colonna più a destra chiamata Valore, sarà settato come false. Fai doppio click su false e questo diventerà true e, a quel punto, se tenterai di andare all’url indicato qui sopra, vedrai il vero URL e non quello codificato.

Ma come funziona questo attacco phishing?

In realtà la spiegazione è parecchio complessa ma, se vuoi comunque saperne di più sappi che questo si chiama Attacco Omografico (clicca sul link per vedere cosa è su wikipedia, purtroppo solo in inglese) che si basa sullo standard Punycode (anche qui puoi cliccare sul link per vedere, in italiano, di cosa si tratta) che è un sistema utilizzato per potere registrare un nome a dominio che usa caratteri ASCII non standard (un carattere ASCII non standard è, per esempio, un nostro qualsiasi carattere accentato come à o è).

Nel caso in questione con il dominio apple.com, viene registrato un dominio che, al posto del carattere standard ASCII “a” usa la “a” cirillica che però dal browser viene ritrasformata nella “a” a cui tutti siamo abituati.

Un piccolo trucco per capire a che sito ci si è collegati

Al di là di applicare i consigli che seguono, esiste un sistema abbastanza semplice per capire se il sito è legittimo.

Collegandosi all’URL di cui sopra, nella barra degli indirizzi apparirà https://www.apple.com ma, usando Chrome e cliccando sul lucchetto verde prima dell’indirizzo con la scritta Sicuro, apparirà un piccolo box di dialogo con alcune informazioni.

Leggi anche  Phishing su Banca Popolare di Milano

In questo box la prima scritta indica il numero di cookies che il sito ha impostato. Se ci clicchi sopra sul sito contraffatto ti apparirà chiaramente l’URL originale, come vedi nell’immagine

attacco omografico punycode

mentre se fai la stessa cosa sul sito Apple vero, apparirà l’URL vero, cioè www.apple.com

attacco omografico punycode

Come proteggersi da un attacco omografico?

  1. Se usi Chrome, aggiornalo almeno alla versione 58.
  2. Se usi Firefox segui il consiglio dato poco sopra.
  3. Usa Safari (anche se, parere mio, è il browser peggiore che conosco)
  4. Non cliccare MAI su un link contenuto in un’email che non ti arriva da un contatto conosciuto o di cui sei assolutamente sicuro. Sicuramente MAI su link di banche, poste, assicurazioni o comunque siti dove, in un modo o nell’altro, devi inserire tuoi dati sensibili come numeri di carta di credito, dati personali, password e così via.
  5. Nel dubbio piuttosto scrivi a mano l’URL nella barra degli indirizzi o usa un bookmark o segnalibro che ti sei già salvato in precedenza.

Lascia un commento

 

Iscriviti alla newsletter
ISCRIVITI ORA

Iscriviti alla Newsletter di Tutto sulla posta elettronica

Riceverai solo un'email alla settimana con gli ultimi aggiornamenti per la tua sicurezza!

Ricevi il pdf gratuitamente|

Lascia la tua email e riceverai gratuitamente il primo capitolo e l'indice dei contenuti del libro!
RICEVI IL PDF!
mautic is open source marketing automation