OpenNews: Новый метод фишинга с использованием unicode-символов в домене

17.04.2017 22:09 Новый метод фишинга с использованием unicode-символов в домене

Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061 на кириллическую "а" (U+0430) , так как смешивание в домене букв из разных алфавитов не допускается.

Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке.

При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, включающих символы, похожие на латиницу. Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к аррӏе.com.

Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

исправить +20 +/–

Главная ссылка к новости (https://www.xudongz.com/blog/2...)

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: phishing

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, Аноним, 22:41, 17/04/2017 [ответить] [смотреть все] [к модератору]	+7 +/–
>Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave Внезапно хорошие новости с проприетарного фронта.

2.8, Аноним, 23:00, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Ты смотри, а то сейчас на новостных помойках появятся заголовки Известный сайт ... весь текст скрыт [показать] [показать ветку]

3.19, Аноним, 23:52, 17/04/2017 [^] [ответить] [смотреть все] [к модератору]	+6 +/–
Кому какое дело до того, что происходит на узкоспециальных новостных помойках, включая..

3.23, Аноним, 00:01, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+4 +/–
пф, чуть печенькой не подавился от смеха ... весь текст скрыт [показать]

4.48, YetAnotherOnanym, 11:33, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
> печенькой Ты уже перешёл на их сторону?

3.58, F, 11:01, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Зачем обзываться Ну, можно же написать и наоборот - Один из маргинальных посет... весь текст скрыт [показать]

2.10, Аноним, 23:13, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Просто у них вообще для IDN набор символов искусственно ограничен, захочешь доме... весь текст скрыт [показать] [показать ветку]

3.29, imprtat, 00:51, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
>> набор символов искусственно ограничен или же просто не работает :)

4.47, Аноним, 11:21, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
> не работает В контексте сабжа это не так уж и плохо. :)

3.34, элвис жив, 04:48, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
У узбеков латиница же.

3.59, F, 11:02, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
А надо вроссию uz ... весь текст скрыт [показать]

1.2, Аноним, 22:42, 17/04/2017 [ответить] [смотреть все] [к модератору]	+4 +/–
Шикос, всегда подозревал что национальные домены это потенциальная лазейка для ф... весь текст скрыт [показать]

2.60, F, 11:05, 19/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Вообще, любая схема именования - лазейка для фишеров Скажем, хочет производител... весь текст скрыт [показать] [показать ветку]

1.3, trolleybus, 22:42, 17/04/2017 [ответить] [смотреть все] [к модератору]	+14 +/–
А вот нечего было юникод в именах разрешать. Что, ASCII не хватает уже?

2.12, A.Stahl, 23:18, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
>Что, ASCII не хватает уже? Только КОИ7-Н1, только хардкор и маразм!

2.13, Аноним, 23:18, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–2 +/–
И 640 Кб тоже всем хватает, ага.

3.16, Принц, 23:41, 17/04/2017 [^] [ответить] [смотреть все] [к модератору]	+7 +/–
Ты лучше представь, как бы заходил на алиэкспресс, если бы у него был домен на китайском.

4.22, Старый одмин, 00:00, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
По IP ходили бы, как по старинке

5.26, anonim1, 00:37, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Какой же ты админ если не знаешь что такое HTTP по секрету - на одном IP может ... весь текст скрыт [показать]

6.45, Pahanivo, 11:12, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
он видимо настолько стар что еще arpanet видел ... весь текст скрыт [показать]

7.61, F, 11:08, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
А в arpanet разве http был Она, вообще, закрыта-то в 1990 году, так что многие ... весь текст скрыт [показать]

4.38, vanoc, 08:54, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
В Китае большой популярностью пользуются цифровые домены Наверняка у али есть ц... весь текст скрыт [показать]

2.24, Аноним, 00:15, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Так и знал, что http://президент.рф создан для фишинга...

2.35, iPony, 07:15, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Не Не хватает https 128571 127829 ws 127852 127976 127916 ... весь текст скрыт [показать] [показать ветку]

3.46, Pahanivo, 11:12, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
етить тваю мать, котики ... весь текст скрыт [показать]

2.54, Аноним, 17:43, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Домены же за деньги продают Теперь владельцы крупных брендов покупают не только... весь текст скрыт [показать] [показать ветку]

1.4, Аноним, 22:42, 17/04/2017 [ответить] [смотреть все] [к модератору]	–2 +/–
Посмотрел, по умолчанию уже стоит false Внимание Вопрос Кто лазил в мой бра... весь текст скрыт [показать]

2.6, trolleybus, 22:45, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
Видимо, true значит отключить т е показывать Punycode, а не интернационально... весь текст скрыт [показать] [показать ветку]

3.20, Sw00p aka Jerom, 23:54, 17/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
тру значить показать именно в пуникоде, а раз пуникод значит не apple com ps ред... весь текст скрыт [показать]

2.32, Laverna, 02:14, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Чукча не читатель Нужно сделать true, чтобы защититься А у вас, конечно, false... весь текст скрыт [показать] [показать ветку]

3.52, Sw00p aka Jerom, 15:07, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
у всех он по дефолту фолс ибо смысл?

1.7, Аноним, 22:56, 17/04/2017 [ответить] [смотреть все] [к модератору]	+14 +/–
Маразм: сначала вводим никому ненужные юникодные домены, затем героически боремся с последствиями. Да кому в здравом уме нужен юникодный домен, исключая случай "просто прикольно" ? Пыль в глаза. И лишние затраты ресурсов на пускание пыли.

2.9, Аноним, 23:12, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Объективно - никому. Субъективно - арабам с их левосторонней письменностью.

3.49, Аноним, 13:15, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Представляю, каково этим арабам читать сначала http слева направо, потом куск... весь текст скрыт [показать]

4.55, biomassa, 22:15, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Элементарно Ватсон: moc.elgoog\\:sptth

4.62, Anonimus, 12:56, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Протокол писать не обязательно же Но и без этого у них проблем хватает, наприме... весь текст скрыт [показать]

4.64, JL2001, 16:41, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
не так уж и плохо если вот так http ru org bash... весь текст скрыт [показать]

2.17, Мимо крокодил, 23:45, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–1 +/–
Объективно - по телефону удобнее диктовать продам дефис гараж точка рф чем s ... весь текст скрыт [показать] [показать ветку]

3.30, Аноним, 01:08, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+19 +/–
> Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем > "s как доллар, е как е русская..." и что толку? всё равно половина напишет "прадам-гараш.рв"

3.39, Anoim, 08:58, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
А давно SMS и месенджеры всякие отменили?

1.11, Аноним, 23:15, 17/04/2017 [ответить] [смотреть все] [к модератору]	+3 +/–
Решение проблемы кстати можно очень простое придумать - выводить все IDN-домены ... весь текст скрыт [показать]

2.28, Аноним, 00:46, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Поможет только отличить IDN от похожего не-IDN имени, но не поможет отличить два... весь текст скрыт [показать] [показать ветку]

3.43, Аноним, 09:17, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Тогда делаем цвет на основе хэш-функции имени.

1.15, Принц, 23:40, 17/04/2017 [ответить] [смотреть все] [к модератору]	+/–
А в чём уязвимость? Символы как символы, ну и что что они путаются. Что, я уже не могу зарегистрировать свободный домен, потому что кто-то может его перепутать, и меня браузеры должны метить как-то?

2.18, Аноним, 23:50, 17/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Ты, дядя, похоже вовсе не знаешь, что такое фишинг.

3.21, Аноним, 23:56, 17/04/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Я знаю Fishing - рыбалка ... весь текст скрыт [показать]

3.40, Принц, 08:59, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Как браузер будет отличать фишинг-домен и просто домен, похожий на другой Вот я... весь текст скрыт [показать]

4.63, Аноним, 13:03, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
ручками набирать надо, а ни гуглояндексом :)

3.66, Иван, 18:11, 16/01/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Ну сами же хотели в своей стране читать и писать на своём языке Нате, жрите, ... весь текст скрыт [показать]

1.25, Аноним, 00:16, 18/04/2017 [ответить] [смотреть все] [к модератору]	+2 +/–
Понимаю немножко не по теме Но не подскажите где еще можно скачать тор браузер ... весь текст скрыт [показать]

2.31, Аноним, 01:47, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Отсюда можете скачать? https://mega.nz/#F!Evp3zBjJ!ALIchKp9Jd8l1B4316MMwg

3.37, Аноним, 08:44, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Посоны, не качайте, там вирус! Пишу с тамагочи

4.56, Аноним, 00:56, 19/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
На самом деле нет, но мысль здравая не стоит доверять файлам анонима с файлообм... весь текст скрыт [показать]

2.50, Аноним, 13:18, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Вам не сюда Обратитесь на форум Friendship Is Magic ... весь текст скрыт [показать] [показать ветку]

3.53, iPony, 15:21, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
> Friendship Is Magic Их тоже блокируют https://derpiboo.ru

2.57, Аноним, 01:01, 19/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Установите можно в виртуальную машину любой дистрибутив GNU Linux, в репозитор... весь текст скрыт [показать] [показать ветку]

1.27, Аноним, 00:42, 18/04/2017 [ответить] [смотреть все] [к модератору]	+/–
Теперь Хром не показывает доменные имена, состоящие только из символов кириллицы... весь текст скрыт [показать]

1.33, Laverna, 02:16, 18/04/2017 [ответить] [смотреть все] [к модератору]	+1 +/–
Дык это как бы не новость. Год назад я репортил вот это: https://bugzilla.mozilla.org/show_bug.cgi?id=1256009 Актуально до сих пор.

2.36, Аноним, 07:27, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Это вариант со смешиванием, который в chrome не прошел бы В новости описан спос... весь текст скрыт [показать] [показать ветку]

1.41, Аноним, 09:04, 18/04/2017 [ответить] [смотреть все] [к модератору]	–1 +/–
а что, разница между www арр 1231 е com и www apple com совершенно не заметна ... весь текст скрыт [показать]

2.42, Аноним, 09:14, 18/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Если не смотреть коды символов, то не заметна Естественно, все от шрифта ещё за... весь текст скрыт [показать] [показать ветку]

3.51, Аноним, 14:53, 18/04/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
На мобильной версии опеннета это хорошо видно - в свернутых комментариях вмест... весь текст скрыт [показать]

1.44, CHERTS, 10:24, 18/04/2017 [ответить] [смотреть все] [к модератору]	+/–
php-функция idn_to_utf8 при попытке использовать xn--80ak6aa92e.com не может перевести в аррӏе.com А php-функция idn_to_ascii для аррӏе.com ничего не декодирует, возвращает пустоту. Весело в общем.

2.65, Аноним, 09:38, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Новости из мира php? Держите нас в курсе...

Добавить комментарий