OpenNews: Новый метод фишинга с использованием unicode-символов в домене

17.04.2017 22:09 Новый метод фишинга с использованием unicode-символов в домене

Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061 на кириллическую "а" (U+0430) , так как смешивание в домене букв из разных алфавитов не допускается.

Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке.

При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, включающих символы, похожие на латиницу. Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к аррӏе.com.

Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

исправить +20 +/–

Главная ссылка к новости (https://www.xudongz.com/blog/2...)

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: phishing

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Раскрыть все сообщения | RSS

1.1, Аноним (-), 22:41, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	+7 +/–
>Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave Внезапно хорошие новости с проприетарного фронта.

2.8, Аноним (-), 23:00, 17/04/2017 [^] [ответить] [к модератору]	+/–
Ты смотри, а то сейчас на новостных помойках появятся заголовки "Известный сайт об открытом и свободном ПО OpenNET.ru признал безопасной винду и другие широкоизвестные мировые программные продукты"

3.19, Аноним (-), 23:52, 17/04/2017 [^] [ответить] [к модератору]	+6 +/–
Кому какое дело до того, что происходит на узкоспециальных новостных помойках, включая..

3.23, Аноним (-), 00:01, 18/04/2017 [^] [ответить] [к модератору]	+4 +/–
> "Известный сайт об открытом и свободном пф, чуть печенькой не подавился от смеха

4.48, YetAnotherOnanym (ok), 11:33, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
> печенькой Ты уже перешёл на их сторону?

3.58, F (?), 11:01, 19/04/2017 [^] [ответить] [к модератору]	+2 +/–
Зачем обзываться Ну, можно же написать и наоборот - Один из маргинальных посет... весь текст скрыт [показать]

2.10, Аноним (-), 23:13, 17/04/2017 [^] [ответить] [к модератору]	+1 +/–
Просто у них вообще для IDN набор символов искусственно ограничен, захочешь доме... весь текст скрыт [показать]

3.29, imprtat (ok), 00:51, 18/04/2017 [^] [ответить] [к модератору]	+3 +/–
>> набор символов искусственно ограничен или же просто не работает :)

4.47, Аноним (-), 11:21, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
> не работает В контексте сабжа это не так уж и плохо. :)

3.34, элвис жив (?), 04:48, 18/04/2017 [^] [ответить] [к модератору]	+/–
У узбеков латиница же.

3.59, F (?), 11:02, 19/04/2017 [^] [ответить] [к модератору]	+/–
А надо вроссию uz ... весь текст скрыт [показать]

1.2, Аноним (-), 22:42, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	+4 +/–
Шикос, всегда подозревал что национальные домены это потенциальная лазейка для фишеров.

2.60, F (?), 11:05, 19/04/2017 [^] [ответить] [к модератору]	+/–
Вообще, любая схема именования - лазейка для фишеров Скажем, хочет производител... весь текст скрыт [показать]

1.3, trolleybus (?), 22:42, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	+14 +/–
А вот нечего было юникод в именах разрешать. Что, ASCII не хватает уже?

2.12, A.Stahl (ok), 23:18, 17/04/2017 [^] [ответить] [к модератору]	+1 +/–
>Что, ASCII не хватает уже? Только КОИ7-Н1, только хардкор и маразм!

2.13, Аноним (-), 23:18, 17/04/2017 [^] [ответить] [к модератору]	–2 +/–
И 640 Кб тоже всем хватает, ага.

3.16, Принц (?), 23:41, 17/04/2017 [^] [ответить] [к модератору]	+7 +/–
Ты лучше представь, как бы заходил на алиэкспресс, если бы у него был домен на китайском.

4.22, Старый одмин (?), 00:00, 18/04/2017 [^] [ответить] [к модератору]	+/–
По IP ходили бы, как по старинке

5.26, anonim1 (?), 00:37, 18/04/2017 [^] [ответить] [к модератору]	+2 +/–
Какой же ты админ если не знаешь что такое HTTP (по секрету - на одном IP может быть больше одного сайта)

6.45, Pahanivo (ok), 11:12, 18/04/2017 [^] [ответить] [к модератору]	+/–
> Какой же ты админ если не знаешь что такое HTTP (по секрету > - на одном IP может быть больше одного сайта) он видимо настолько стар что еще arpanet видел )))

7.61, F (?), 11:08, 19/04/2017 [^] [ответить] [к модератору]	+/–
А в arpanet разве http был Она, вообще, закрыта-то в 1990 году, так что многие ... весь текст скрыт [показать]

4.38, vanoc (ok), 08:54, 18/04/2017 [^] [ответить] [к модератору]	+/–
В Китае большой популярностью пользуются цифровые домены. Наверняка у али есть цифровой домен.

2.24, Аноним (-), 00:15, 18/04/2017 [^] [ответить] [к модератору]	+/–
Так и знал, что http://президент.рф создан для фишинга...

2.35, iPony (?), 07:15, 18/04/2017 [^] [ответить] [к модератору]	+/–
> ASCII не хватает уже? Не. Не хватает https://😻🍕.ws/🍬🏨🎬

3.46, Pahanivo (ok), 11:12, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
> Не. Не хватает https://😻🍕.ws/🍬🏨🎬 етить тваю мать, котики!!!

2.54, Аноним (-), 17:43, 18/04/2017 [^] [ответить] [к модератору]	+/–
Домены же за деньги продают. Теперь владельцы крупных брендов покупают не только обычный ASCII-домен, но и IDN для своего языка. Профит! А еще кучу новых TLD сделали — еще больше профита!

1.4, Аноним (4), 22:42, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	–2 +/–
Посмотрел, по умолчанию уже стоит false Внимание Вопрос Кто лазил в мой бра... весь текст скрыт [показать]

2.6, trolleybus (?), 22:45, 17/04/2017 [^] [ответить] [к модератору]	+2 +/–
Видимо, true значит "отключить" (т.е. показывать Punycode, а не интернациональное имя)

3.20, Sw00p aka Jerom (?), 23:54, 17/04/2017 [^] [ответить] [к модератору]	+/–
тру значить показать именно в пуникоде, а раз пуникод значит не apple.com ps:редактор новости не в курил в тему, ничего там не отключается.

2.32, Laverna (?), 02:14, 18/04/2017 [^] [ответить] [к модератору]	+/–
Чукча не читатель? Нужно сделать true, чтобы защититься. А у вас, конечно, false по дефолту.

3.52, Sw00p aka Jerom (?), 15:07, 18/04/2017 [^] [ответить] [к модератору]	+/–
у всех он по дефолту фолс ибо смысл?

1.7, Аноним (-), 22:56, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	+14 +/–
Маразм: сначала вводим никому ненужные юникодные домены, затем героически боремся с последствиями. Да кому в здравом уме нужен юникодный домен, исключая случай "просто прикольно" ? Пыль в глаза. И лишние затраты ресурсов на пускание пыли.

2.9, Аноним (-), 23:12, 17/04/2017 [^] [ответить] [к модератору]	+/–
Объективно - никому. Субъективно - арабам с их левосторонней письменностью.

3.49, Аноним (-), 13:15, 18/04/2017 [^] [ответить] [к модератору]	+/–
Представляю, каково этим арабам читать сначала http:// слева направо, потом куски доменного имени справа налево, переходя от самого левого к самому правому...

4.55, biomassa (?), 22:15, 18/04/2017 [^] [ответить] [к модератору]	+/–
Элементарно Ватсон: moc.elgoog\\:sptth

4.62, Anonimus (??), 12:56, 19/04/2017 [^] [ответить] [к модератору]	+/–
Протокол писать не обязательно же. Но и без этого у них проблем хватает, например, с числами и написанием интервалов 2003-1989

4.64, JL2001 (ok), 16:41, 19/04/2017 [^] [ответить] [к модератору]	+/–
не так уж и плохо если вот так http ru org bash... весь текст скрыт [показать]

2.17, Мимо крокодил (?), 23:45, 17/04/2017 [^] [ответить] [к модератору]	–1 +/–
Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем "s как доллар, е как е русская..."

3.30, Аноним (-), 01:08, 18/04/2017 [^] [ответить] [к модератору]	+19 +/–
> Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем > "s как доллар, е как е русская..." и что толку? всё равно половина напишет "прадам-гараш.рв"

3.39, Anoim (?), 08:58, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
А давно SMS и месенджеры всякие отменили?

1.11, Аноним (-), 23:15, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	+3 +/–
Решение проблемы кстати можно очень простое придумать - выводить все IDN-домены с "xn--" другим цветом.

2.28, Аноним (-), 00:46, 18/04/2017 [^] [ответить] [к модератору]	+/–
Поможет только отличить IDN от похожего не-IDN имени, но не поможет отличить два различных, но одинаково выглядящих IDN.

3.43, Аноним (-), 09:17, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
Тогда делаем цвет на основе хэш-функции имени.

1.15, Принц (?), 23:40, 17/04/2017 [ответить] [показать ветку] [···] [к модератору]	+/–
А в чём уязвимость? Символы как символы, ну и что что они путаются. Что, я уже не могу зарегистрировать свободный домен, потому что кто-то может его перепутать, и меня браузеры должны метить как-то?

2.18, Аноним (-), 23:50, 17/04/2017 [^] [ответить] [к модератору]	+1 +/–
Ты, дядя, похоже вовсе не знаешь, что такое фишинг.

3.21, Аноним (-), 23:56, 17/04/2017 [^] [ответить] [к модератору]

+1 +/–

> Ты, дядя, похоже вовсе не знаешь, что такое фишинг.

Я знаю. Fishing - рыбалка.

3.40, Принц (?), 08:59, 18/04/2017 [^] [ответить] [к модератору]	+/–
Как браузер будет отличать фишинг-домен и просто домен, похожий на другой? Вот я захотел создать домен аpple.com с русской а в начале. Не чтобы обманывать посетителей, а чтобы яблоки на нём продавать.

4.63, Аноним (-), 13:03, 19/04/2017 [^] [ответить] [к модератору]	+/–
ручками набирать надо, а ни гуглояндексом :)

3.66, Иван (??), 18:11, 16/01/2018 [^] [ответить] [к модератору]	+/–
> не знаешь, что такое фишинг. Ну сами же хотели "в своей стране читать и писать на своём языке". Нате, жрите, не вопите.

1.25, Аноним (-), 00:16, 18/04/2017 [ответить] [показать ветку] [···] [к модератору]	+2 +/–
Понимаю немножко не по теме. Но не подскажите где еще можно скачать тор браузер. Я из Казахстана. И у нас сайт тора заблокирован.

2.31, Аноним (-), 01:47, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
Отсюда можете скачать? https://mega.nz/#F!Evp3zBjJ!ALIchKp9Jd8l1B4316MMwg

3.37, Аноним (-), 08:44, 18/04/2017 [^] [ответить] [к модератору]	+/–
Посоны, не качайте, там вирус! Пишу с тамагочи

4.56, Аноним (-), 00:56, 19/04/2017 [^] [ответить] [к модератору]	+/–
На самом деле нет, но мысль здравая не стоит доверять файлам анонима с файлообм... весь текст скрыт [показать]

2.50, Аноним (-), 13:18, 18/04/2017 [^] [ответить] [к модератору]	+/–
> Понимаю немножко не по теме. Но не подскажите где еще можно скачать > тор браузер. Я из Казахстана. И у нас сайт тора заблокирован. Вам не сюда. Обратитесь на форум Friendship Is Magic.

3.53, iPony (?), 15:21, 18/04/2017 [^] [ответить] [к модератору]	+/–
> Friendship Is Magic Их тоже блокируют https://derpiboo.ru

2.57, Аноним (-), 01:01, 19/04/2017 [^] [ответить] [к модератору]	+1 +/–
Установите (можно в виртуальную машину) любой дистрибутив GNU/Linux, в репозиториях которого есть пакет tor. В качестве браузера для tor сгодится icecat.

1.27, Аноним (-), 00:42, 18/04/2017 [ответить] [показать ветку] [···] [к модератору]	+/–
Теперь Хром не показывает доменные имена, состоящие только из символов кириллицы похожих на какие-нибудь символы латиницы, если TLD не IDN). Сколько еще понадобится таких специальных исключений?

1.33, Laverna (?), 02:16, 18/04/2017 [ответить] [показать ветку] [···] [к модератору]	+1 +/–
Дык это как бы не новость. Год назад я репортил вот это: https://bugzilla.mozilla.org/show_bug.cgi?id=1256009 Актуально до сих пор.

2.36, Аноним (-), 07:27, 18/04/2017 [^] [ответить] [к модератору]	+1 +/–
Это вариант со смешиванием, который в chrome не прошел бы. В новости описан способ обхода защиты от подобного.

1.41, Аноним (-), 09:04, 18/04/2017 [ответить] [показать ветку] [···] [к модератору]	–1 +/–
а что, разница между www.аррӏе.com и www.apple.com совершенно не заметна?

2.42, Аноним (-), 09:14, 18/04/2017 [^] [ответить] [к модератору]	+/–
Если не смотреть коды символов, то не заметна. Естественно, все от шрифта ещё зависит, на некоторых разница будет заметна. (Если они у вас действительно отличаются, а то я не проверял)

3.51, Аноним (-), 14:53, 18/04/2017 [^] [ответить] [к модератору]	+/–
На мобильной версии опеннета это хорошо видно - в "свернутых" комментариях вместо юникодных символов отображаются их коды. Тут код 1231.

1.44, CHERTS (??), 10:24, 18/04/2017 [ответить] [показать ветку] [···] [к модератору]	+/–
php-функция idn_to_utf8 при попытке использовать xn--80ak6aa92e.com не может перевести в аррӏе.com А php-функция idn_to_ascii для аррӏе.com ничего не декодирует, возвращает пустоту. Весело в общем.

2.65, Аноним (-), 09:38, 28/04/2017 [^] [ответить] [к модератору]	+/–
Новости из мира php? Держите нас в курсе...

Добавить комментарий