The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.04.2017 22:09  Новый метод фишинга с использованием unicode-символов в домене

Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061 на кириллическую "а" (U+0430) , так как смешивание в домене букв из разных алфавитов не допускается.

Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке.

При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, включающих символы, похожие на латиницу. Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к аррӏе.com.

Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

  1. Главная ссылка к новости (https://www.xudongz.com/blog/2...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: phishing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:41, 17/04/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +7 +/
    >Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave

    Внезапно хорошие новости с проприетарного фронта.

     
     
  • 2.8, Аноним (-), 23:00, 17/04/2017 [^] [ответить]    [к модератору]
  • +/
    Ты смотри, а то сейчас на новостных помойках появятся заголовки "Известный сайт об открытом и свободном ПО OpenNET.ru признал безопасной винду и другие широкоизвестные мировые программные продукты"
     
     
  • 3.19, Аноним (-), 23:52, 17/04/2017 [^] [ответить]    [к модератору]
  • +6 +/
    Кому какое дело до того, что происходит на узкоспециальных новостных помойках, включая..
     
  • 3.23, Аноним (-), 00:01, 18/04/2017 [^] [ответить]    [к модератору]
  • +4 +/
    > "Известный сайт об открытом и свободном

    пф, чуть печенькой не подавился от смеха

     
     
  • 4.48, YetAnotherOnanym (ok), 11:33, 18/04/2017 [^] [ответить]    [к модератору]
  • +1 +/
    > печенькой

    Ты уже перешёл на их сторону?

     
  • 3.58, F (?), 11:01, 19/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Зачем обзываться Ну, можно же написать и наоборот - Один из маргинальных посет... весь текст скрыт [показать]
     
  • 2.10, Аноним (-), 23:13, 17/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Просто у них вообще для IDN набор символов искусственно ограничен, захочешь доме... весь текст скрыт [показать]
     
     
  • 3.29, imprtat (ok), 00:51, 18/04/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    >> набор символов искусственно ограничен

    или же просто не работает :)

     
     
  • 4.47, Аноним (-), 11:21, 18/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > не работает

    В контексте сабжа это не так уж и плохо. :)

     
  • 3.34, элвис жив (?), 04:48, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    У узбеков латиница же.
     
  • 3.59, F (?), 11:02, 19/04/2017 [^] [ответить]     [к модератору]  
  • +/
    А надо вроссию uz ... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 22:42, 17/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Шикос, всегда подозревал что национальные домены это потенциальная лазейка для фишеров.
     
     
  • 2.60, F (?), 11:05, 19/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Вообще, любая схема именования - лазейка для фишеров Скажем, хочет производител... весь текст скрыт [показать]
     
  • 1.3, trolleybus (?), 22:42, 17/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +14 +/
    А вот нечего было юникод в именах разрешать. Что, ASCII не хватает уже?
     
     
  • 2.12, A.Stahl (ok), 23:18, 17/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >Что, ASCII не хватает уже?

    Только КОИ7-Н1, только хардкор и маразм!

     
  • 2.13, Аноним (-), 23:18, 17/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    И 640 Кб тоже всем хватает, ага.
     
     
  • 3.16, Принц (?), 23:41, 17/04/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    Ты лучше представь, как бы заходил на алиэкспресс, если бы у него был домен на китайском.
     
     
  • 4.22, Старый одмин (?), 00:00, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    По IP ходили бы, как по старинке
     
     
  • 5.26, anonim1 (?), 00:37, 18/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Какой же ты админ если не знаешь что такое HTTP (по секрету - на одном IP может быть больше одного сайта)
     
     
  • 6.45, Pahanivo (ok), 11:12, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Какой же ты админ если не знаешь что такое HTTP (по секрету
    > - на одном IP может быть больше одного сайта)

    он видимо настолько стар что еще arpanet видел )))

     
     
  • 7.61, F (?), 11:08, 19/04/2017 [^] [ответить]     [к модератору]  
  • +/
    А в arpanet разве http был Она, вообще, закрыта-то в 1990 году, так что многие ... весь текст скрыт [показать]
     
  • 4.38, vanoc (ok), 08:54, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    В Китае большой популярностью пользуются цифровые домены. Наверняка у али есть цифровой домен.
     
  • 2.24, Аноним (-), 00:15, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Так и знал, что http://президент.рф создан для фишинга...
     
  • 2.35, iPony (?), 07:15, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > ASCII не хватает уже?

    Не. Не хватает https://😻🍕.ws/🍬🏨🎬

     
     
  • 3.46, Pahanivo (ok), 11:12, 18/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Не. Не хватает https://😻🍕.ws/🍬🏨🎬

    етить тваю мать, котики!!!

     
  • 2.54, Аноним (-), 17:43, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Домены же за деньги продают. Теперь владельцы крупных брендов покупают не только обычный ASCII-домен, но и IDN для своего языка. Профит! А еще кучу новых TLD сделали — еще больше профита!
     
  • 1.4, Аноним (4), 22:42, 17/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Посмотрел, по умолчанию уже стоит false Внимание Вопрос Кто лазил в мой бра... весь текст скрыт [показать]
     
     
  • 2.6, trolleybus (?), 22:45, 17/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Видимо, true значит "отключить" (т.е. показывать Punycode, а не интернациональное имя)
     
     
  • 3.20, Sw00p aka Jerom (?), 23:54, 17/04/2017 [^] [ответить]    [к модератору]  
  • +/
    тру значить показать именно в пуникоде, а раз пуникод значит не apple.com

    ps:редактор новости не в курил в тему, ничего там не отключается.

     
  • 2.32, Laverna (?), 02:14, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Чукча не читатель? Нужно сделать true, чтобы защититься. А у вас, конечно, false по дефолту.
     
     
  • 3.52, Sw00p aka Jerom (?), 15:07, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    у всех он по дефолту фолс ибо смысл?
     
  • 1.7, Аноним (-), 22:56, 17/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +14 +/
    Маразм: сначала вводим никому ненужные юникодные домены, затем героически боремся с последствиями. Да кому в здравом уме нужен юникодный домен, исключая случай "просто прикольно" ? Пыль в глаза. И лишние затраты ресурсов на пускание пыли.
     
     
  • 2.9, Аноним (-), 23:12, 17/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Объективно - никому.
    Субъективно - арабам с их левосторонней письменностью.
     
     
  • 3.49, Аноним (-), 13:15, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Представляю, каково этим арабам читать сначала http:// слева направо, потом куски доменного имени справа налево, переходя от самого левого к самому правому...
     
     
  • 4.55, biomassa (?), 22:15, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Элементарно Ватсон:
    moc.elgoog\\:sptth
     
  • 4.62, Anonimus (??), 12:56, 19/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Протокол писать не обязательно же. Но и без этого у них проблем хватает, например, с числами и написанием интервалов 2003-1989
     
  • 4.64, JL2001 (ok), 16:41, 19/04/2017 [^] [ответить]     [к модератору]  
  • +/
    не так уж и плохо если вот так http ru org bash... весь текст скрыт [показать]
     
  • 2.17, Мимо крокодил (?), 23:45, 17/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем "s как доллар, е как е русская..."
     
     
  • 3.30, Аноним (-), 01:08, 18/04/2017 [^] [ответить]    [к модератору]  
  • +19 +/
    > Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем
    > "s как доллар, е как е русская..."

    и что толку? всё равно половина напишет "прадам-гараш.рв"

     
  • 3.39, Anoim (?), 08:58, 18/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А давно SMS и месенджеры всякие отменили?
     
  • 1.11, Аноним (-), 23:15, 17/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Решение проблемы кстати можно очень простое придумать - выводить все IDN-домены с "xn--" другим цветом.
     
     
  • 2.28, Аноним (-), 00:46, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Поможет только отличить IDN от похожего не-IDN имени, но не поможет отличить два различных, но одинаково выглядящих IDN.
     
     
  • 3.43, Аноним (-), 09:17, 18/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Тогда делаем цвет на основе хэш-функции имени.
     
  • 1.15, Принц (?), 23:40, 17/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А в чём уязвимость? Символы как символы, ну и что что они путаются. Что, я уже не могу зарегистрировать свободный домен, потому что кто-то может его перепутать, и меня браузеры должны метить как-то?
     
     
  • 2.18, Аноним (-), 23:50, 17/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты, дядя, похоже вовсе не знаешь, что такое фишинг.
     
     
  • 3.21, Аноним (-), 23:56, 17/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ты, дядя, похоже вовсе не знаешь, что такое фишинг.

    Я знаю. Fishing - рыбалка.


     
  • 3.40, Принц (?), 08:59, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Как браузер будет отличать фишинг-домен и просто домен, похожий на другой? Вот я захотел создать домен аpple.com с русской а в начале. Не чтобы обманывать посетителей, а чтобы яблоки на нём продавать.
     
     
  • 4.63, Аноним (-), 13:03, 19/04/2017 [^] [ответить]    [к модератору]  
  • +/
    ручками набирать надо, а ни гуглояндексом :)
     
  • 3.66, Иван (??), 18:11, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > не знаешь, что такое фишинг.

    Ну сами же хотели "в своей стране читать и писать на своём языке". Нате, жрите, не вопите.

     
  • 1.25, Аноним (-), 00:16, 18/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Понимаю немножко не по теме. Но не подскажите где еще можно скачать тор браузер. Я из Казахстана. И у нас сайт тора заблокирован.
     
     
  • 2.31, Аноним (-), 01:47, 18/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Отсюда можете скачать?
    https://mega.nz/#F!Evp3zBjJ!ALIchKp9Jd8l1B4316MMwg
     
     
  • 3.37, Аноним (-), 08:44, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Посоны, не качайте, там вирус! Пишу с тамагочи
     
     
  • 4.56, Аноним (-), 00:56, 19/04/2017 [^] [ответить]     [к модератору]  
  • +/
    На самом деле нет, но мысль здравая не стоит доверять файлам анонима с файлообм... весь текст скрыт [показать]
     
  • 2.50, Аноним (-), 13:18, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Понимаю немножко не по теме. Но не подскажите где еще можно скачать
    > тор браузер. Я из Казахстана. И у нас сайт тора заблокирован.

    Вам не сюда. Обратитесь на форум Friendship Is Magic.

     
     
  • 3.53, iPony (?), 15:21, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Friendship Is Magic

    Их тоже блокируют https://derpiboo.ru

     
  • 2.57, Аноним (-), 01:01, 19/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Установите (можно в виртуальную машину) любой дистрибутив GNU/Linux, в репозиториях которого есть пакет tor. В качестве браузера для tor сгодится icecat.
     
  • 1.27, Аноним (-), 00:42, 18/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Теперь Хром не показывает доменные имена, состоящие только из символов кириллицы похожих на какие-нибудь символы латиницы, если TLD не IDN). Сколько еще понадобится таких специальных исключений?
     
  • 1.33, Laverna (?), 02:16, 18/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Дык это как бы не новость.
    Год назад я репортил вот это:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1256009

    Актуально до сих пор.

     
     
  • 2.36, Аноним (-), 07:27, 18/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Это вариант со смешиванием, который в chrome не прошел бы. В новости описан способ обхода защиты от подобного.

     
  • 1.41, Аноним (-), 09:04, 18/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    а что, разница между www.аррӏе.com и www.apple.com совершенно не заметна?
     
     
  • 2.42, Аноним (-), 09:14, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Если не смотреть коды символов, то не заметна. Естественно, все от шрифта ещё зависит, на некоторых разница будет заметна.
    (Если они у вас действительно отличаются, а то я не проверял)
     
     
  • 3.51, Аноним (-), 14:53, 18/04/2017 [^] [ответить]    [к модератору]  
  • +/
    На мобильной версии опеннета это хорошо видно - в "свернутых" комментариях вместо юникодных символов отображаются их коды. Тут код 1231.
     
  • 1.44, CHERTS (??), 10:24, 18/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    php-функция idn_to_utf8 при попытке использовать xn--80ak6aa92e.com не может перевести в аррӏе.com
    А php-функция idn_to_ascii для аррӏе.com ничего не декодирует, возвращает пустоту.
    Весело в общем.
     
     
  • 2.65, Аноним (-), 09:38, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Новости из мира php? Держите нас в курсе...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor