Este método de Phishing es casi imposible de detectar

El viernes pasado, un investigador de seguridad chino, Xudong Zheng, dio a conocer una prueba de concepto en la cual es posible realizar phishing haciéndote pasar por un dominio legitimo. Aunque el método no es nuevo, los principales navegadores, Chrome, Firefox y Opera siguen siendo vulnerables a esta variación de ataque encontrada.

Punycode permite registrar dominios con caracteres extraños. Funciona mediante la conversión de etiqueta de dominio individual a un formato alternativo utilizando sólo caracteres ASCII. Por ejemplo, el dominio “xn--s7y.co” es equivalente a “短 .co”.

Desde la perspectiva de seguridad, los dominios Unicode pueden ser problemáticos porque muchos caracteres Unicode son difíciles de distinguir de los caracteres ASCII comunes. Es posible registrar dominios como “xn--pple-43d.com”, que es equivalente a “аpple.com”. Puede que no sea obvio a primera vista, pero “аpple.com” usa el cirílico “а” (U + 0430) en lugar del ASCII “a” (U + 0041). Esto se conoce como un ataque homográfico.

Afortunadamente, los navegadores modernos tienen mecanismos para limitar los ataques de homógrafos de IDN. La página IDN en Google Chrome destaca las condiciones en las que se muestra un IDN en su forma nativa Unicode. En Chrome y Firefox, el formato Unicode se oculta si una etiqueta de dominio contiene caracteres de varios idiomas diferentes. El dominio “аpple.com” descrito anteriormente aparecerá en su forma Punycode como “xn--pple-43d.com” para limitar la confusión con el verdadero “apple.com”.

El mecanismo de protección de homógrafos de Chrome (y Firefox) falla, por desgracia, si cada caracter es reemplazado por un caracter similar de un solo idioma extranjero. El dominio “аррӏе.com”, registrado como “xn--80ak6aa92e.com”, salta este filtro utilizando sólo caracteres cirílicos (ver prueba de concepto). En muchos casos, la fuente en Chrome y Firefox hace que los dos dominios visualmente indistinguibles. Es imposible identificar el sitio como fraudulento sin inspeccionar cuidadosamente la URL del sitio o el certificado SSL. Internet Explorer y Safari no son vulnerables.

Prueba de concepto

https://www.аррӏе.com/

¿Hay Solución?

Mientras que Chrome ya probo una solucion y espera implementarla en la version 58. Firefox aun se encuentra debatiendo el fallo.

En la version Canary (version no estable – para desarrolladores) de Chrome, esta falla ya ha sido arreglada.

Mitigación para usuarios de Firefox

Usuarios de Firefox pueden habilitar mostrar el punycode para mitigar temporalmente la vulnerabilidad:

– Abre Firefox
– Escribe about:config en la barra de direcciones y presiona enter.
– Escribe punycode en la barra de búsqueda.
– La configuración del navegador mostrará el parámetro titulado: network.IDN_show_punycode, haz doble clic o haz clic con el botón derecho del mouse y seleccione Cambiar para cambiar el valor de false a true.

Esperemos pronto una solución definitiva para todos los navegadores.

Aquí el articulo del autor.

2 thoughts on “Este método de Phishing es casi imposible de detectar”

Leave a Reply