„Unicode domain“ fišing napadi i problem sa ćiriličnim domenima

0

Da li verujete ovoj URL adresi: www.аpple.com? Izgleda kao link ka Apple sajtu, ali nije! Ne vidite šta ne valja u tom linku? Ne brinite niste jedini, većina neće primetiti razliku, a evo i o čemu se zapravo radi.

https://www.аpple.com izgleda kao link ka Apple sajtu, ali je to zapravo drugi link koji dosta liči na originalni i vodi na drugi sajt. Razlika je u slovu „a“ koje je tu zapravo Unicode ćirilično „а“ (U+0430), a ne standardno ASCII „a“ (U+0061).

apple-fake-domain-whois
Lažan apple.com domen / original apple.com domen

„IDN Homograph“ napad

Slovo „a“ je samo jedan takav slučaj, primera ima dosta. Mi sa Balkana znamo to jer imamo i ćirilicu koja se koristi na internetu uveliko. Hakeri registruju domene koji su isti kao domeni poznatih sajtova, ali umesto ASCII slova ubace neko slično Unicode slovo (kao u ovom primeru ćirilično „a“). Razliku ne možemo videti i zbog toga se ta vrsta fišinga naziva „IDN Homograph attack“ – više.

Ipak, sreća po nas pa developeri veb pregledača ugrađuju zaštitu koja u suštini prikazuje domen u „Punycode“ formatu. To znači da će, u ovom primeru, link „аpple.com“ biti prikazan kao „xn–pple-43d.com“ (ali se neće učitati jer nije registrovan trenutno). Punycode, dakle, konvertuje Unicode karaktere u ASCII tako što im dodeljuje neke od dostupnih znakova iz te tabele. Ako želite možete probati onlajn konvertor koji radi to – punycoder.com

blocked phis idn attack
Chrome je konvertovao Unicode domen u ASCII

Da biste se zaštitili od ovih napada, možete koristiti „IDN blocker“ dodatak za vaš veb pregledač – Chrome, Firefox, Opera. Dodaci ovog tipa prepoznaju Unicode karaktere u domenima i blokiraju pristup istim. Ovo je i jedini način, za sada, da se zaštite korisnici od „Unicode domain“ fišing napada.

Ćirilični domeni?

Možda se pitate šta je sa našim ćiriličnim domenima? Pa oni su u celosti sastavljeni od Unicode karaktera! Evo jedan poznat ćirilični domen koji ću koristiti kao primer za ovaj članak  – њњњ.срб

Prvo što ćete primetiti ako kopirate link to je da će on biti konvertovan u Punycode! Pa tako link њњњ.срб nisam mogao da kopiram i nalepim u članak, jer se odmah konvertuje, već sam morao da ručno sastavim link slovo po slovo.

punycode-convert-idn1

Dobra strana je što se ne konvertuje u Punycode kada kliknete na njega (barem ne vizuelno, možda se dešava nešto u pozadini pre ponovnog prikaza originalnog – nisam testirao), a takođe i konvertovan domen radi. Primer: http://њњњ.срб će biti konvertovan u http://xn--g2aaa.xn--90a3ac/ prilikom kopiranja, a ako pokušate da odete na taj Punycode domen, veb pregledač će ga konverotvati nazad u њњњ.срб i učitati.

Gde je onda problem?

Veb pregledači, za sada, imaju samo zaštitu u vidu konvertovanja Unicode karaktera u ASCII kako bi korisnik video da domen nije original.

Problem je u tome što „Unicode domain“ fišing zaštite blokiraju i validne domene, dakle sve naše ćirilične (između ostalog). Ti filteri detektuju Unicode karaktere u domenima i blokiraju ih sve jer prosto ne znaju da li je domen kreiran u svrhe fišinga ili nije.

cirilicni domeni fising napad
Dodatak je blokirao ćirilični domen

Ako probamo da posetimo domen koji sam uzeo za primer u ovom članku – њњњ.срб – sa uključenom zaštitom, biće blokiran!

Rešenje?

Svakako da većina ovih dodataka nudi i belu listu (engl. Whitelist) pa možete dodati domen koji želite i neće biti blokiran. Ali, to svakako nije rešenje jer ko će dodavati svaki ćirilični domen u listu? Možda ih nema mnogo, ali šta je sa domenima u drugim državama koji su na njihovom pismu?

Čak i da se uvede neko pravilo/zakon po kojem svi .срб (i ostali nacionalni) domeni imaju pravo „prolaza“ kroz ove filtere, hakeri svakako mogu onda registrovati lažan .срб, ili neki drugi nacionalni, domen neke kompanije (šta, ta kompanija otvorila sedište u Srbiji pa registrovala domaći domen – ko će posumnjati) i tako „zaobići“ zaštitu.

Ne vidim za sada neko rešenje, a izgleda ni kreatori popularnih veb pregledača jer vidim ne žure sa implementacijom konkretnije zaštite.

No, ja nisam ni toliko stručan na polju domena i svih tih postupaka njihove registracije i zakona, pa bih ipak ostavio vama da predlažete moguća rešenja u komentarima ispod.

Izvori Grahamcluley Wordfence Xudongz
Povezani tekstovi:

Tvoj komentar

Email adresa neće biti javno prikazana!

Ako već nisi, lajkuj stranicu i budi u toku! Hvala