Phishing: questo sito non è quello che sembra (anche se l’indirizzo è corretto) Un caso di IDN phishing che permette di "duplicare" esattamente un URL

<span class="entry-title-primary">Phishing: questo sito non è quello che sembra (anche se l’indirizzo è corretto)</span> <span class="entry-subtitle">Un caso di IDN phishing che permette di "duplicare" esattamente un URL</span>

Abbiamo parlato in molte occasioni di casi di phishing su questo sito, ovvero circostanze in cui un utente sul web viene ingannato da email subdole che lo invitano, il più delle volte, a cliccare su un link malevolo e contrarre così infezioni di vario tipo (malware, virus, ransomware, ecc.). Non sono rari i casi in cui i siti famosi come Google o Apple.com vengono clonati per indurre l’utente a fare login, consegnando così username e password ai malintenzionati: motivo per usare la classica contromisura, in questi casi, di controllare con attenzione l’URL a cui si accede volta per volta.

Sembra, ad oggi, che sia uscita fuori una nuova tecnica di phishing, scoperta da ricercatore informatico cinese Xudong Zheng, che ne parla nel suo blog e fornisce una adeguata proof of concept per dimostrare il tutto. Un sito di phishing che, in sostanza, può avere esattamente lo stesso indirizzo dell’URL originale, sulla base di un semplice algoritmo che viene utilizzato per allargare lo spazio degli indirizzi.

Sappiamo che una delle regole principali per distinguere le email autentiche da quelle di phishing consiste nell’analizzare l’URL, ad esempio provando ad identificare l’indirizzo di appartenenza, per cui:

  • accounts.google.com appartiene a Google;
  • accounts-google.com NON appartiene a Google;

e così via.

Chiunque conosca anche un minimo il funzionamento del DNS dovrebbe essere ingrado di leggere gli URL al contrario, partendo dall’estensione o TLD e procedendo a ritroso, e riconoscere così gli URL malevoli da non cliccare.

Questa tecnica, pero’, si scontra con un paio di eccezioni considerevoli: la prima è stata analizzata su questo blog qualche tempo fa, e consisteva nel nascondere una parte di URL significativo all’utente in modo da invalidare la regola vista poc’anzi. La seconda, che è quella scoperta da Zheng , fa riprodurre l’indirizzo in modo esatto come se fosse quello originale. Cosa ancora più preoccupante, è stato trovato un modo per aggirare il certificato SSL e riprodurlo esattamente, in modo che “ad occhio” non sia davvero possibile identificare l’indirizzo ingannevole da quello autentico.

Di seguito l’esempio del sito della Apple, davvero inquietante perchè è impossibile distinguere il sito web originale da quello farlocco (screen di HackerNews).

Chi pensa, anche tra i lettori più tecnicamente preparati, ad una specie di miracolo non dovrebbe farsi ingannare, e dovrebbe invece ripensare ai punycode, la codifica che viene utilizzate (tra le altre cose) per i nomi di dominio con le lettere accentate. Quello che ha fatto il ricercatore, fortunatamente in buonafede per illustrare la tecnica, è stato semplicemente Chiunque abbastanza esperto avrebbe potuto fingere di essere il sito della Apple, e senza che le vittime se ne accorgessero per tempo.

Con la tecnica mostrata, in sostanza, si rende possibile ad un malintenzionato di ricreare un sito web con le stesse fattezze dell’originale, e sfruttarlo per raccogliere segretamente i dati personali di accesso dell’utente, le password e così via. Secondo il ricercatore, un buon modo per mitigare questo genere di attacchi è quello di aggiornare i propri browser e sfruttare un password manager, in modo da assicurarsi di accedere all’indirizzo web giusto.

La codifica delle sequenze Punycode nella codifica originaria sono a carico dello user agent, per cui è necessario un aggiornamento apposito dei nostri browser. Al momento in cui scriviamo Mozilla sta lavorando ad un aggiornamento per questo problema (che probabilmente sarà proposto nella prossima versione in uscita per tutti i sistemi operativi), mentre Google Chrome ha già pianificato di rilasciarlo con la versione 58 programmata per fine aprile.

Come disattivare i punycode in Firefox lo spiega Hacker News:

  1. digitare about:config nella barra degli indirizzi;
  2. premere Invio;
  3. digitare punycode;
  4. cercare il parametro di nome network.IDN_show_punycode, ed impostarlo a FALSE per disabilitare la codifica e a TRUE per ripristinarla.

(fonte)

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.