Quando www.sito.com è DIVERSO da www.sito.com

Argomenti: ,
Pubblicato il: 29-03-2021 12:02 , Ultimo aggiornamento: 29-03-2021 12:20

Che cos’è un attacco omografico

Negli ultimi tempi è molto “in voga” una tecnica di attacco informatico, raffinata a tal punto da poter trarre in inganno anche un utente esperto, portandolo a cliccare su un link apparentemente uguale a quello del sito che crede di visitare. Prende il nome di attacco omografico al nome di dominio internazionalizzato (IDN homographic attack) , rende quasi impossibile distinguere l’indirizzo reale da quello falso sfruttando una di stile tipografico e particolari caratteri Unicode.

In altre parole, sfrutta la somiglianza di caratteri appartenenti ad alfabeti diversi.

Come il typosquatting o il leetspeak, si basa sulla sostituzione di alcuni caratteri componenti il dominio, ma è una tecnica molto più fine. Typosquatting e leetspeak, per andare a segno, fanno affidamento sull’errore umano, l’attanccante spera che l’utente non si accorga che a yutube.com manca una o (typosquatting), che goo1e.com è stato scritto con un 1 anziché una l (leetspeak).

L’attacco omografico è molto più difficile da riconoscere, sostituendo un carattere latino con un omografo cirilico, l’occhio dell’utente non noterà alcuna differenza.

Si dicono omografi quei caratteri che vengono rappresenatati dallo stesso segno grafico ma che hanno un significato fonico diverso. Si gioca sul fatto che caratterei omografi, quindi graicamente identici, appartenenti ad alfabeti diversi, utilizzano codifiche Unicode diverse.

Ad esempio il carattere latino a usa la codifica U+0061, il carattere cirillico a usa la codifica U+0430.

Fino al 2003 per i domini era consentito usare solo lettere appartenenti all’alfabeto latino, numeri da 0 a 9 e il meno o trattino (-) che chiamar si voglia. Queste limitazioni possono essere spiegate osservando più da vicino il Domain Name System (DNS). Questo servizio è responsabile della traduzione degli URL in indirizzi IP e opera su uno schema basato sull’American Standard Code for Information Interchange (ASCII), ciò implica che molti caratteri vengano tagliati fuori, poichè non esiste una loro codifica in ASCII.

Per superare questo inconveniente viene chiamato in causa il sistema di codifica Punycode in grado di definire una traduzione standardizzata dall’Unicode all’ASCII, rendendo possibile, nei domini internet, l’utilizzo di caratteri appartententi a tutti gli alfabeti conosciuti. Si risolve sicuramente un grosso problema, al tempo stesso però viene introdotto l’attacco omografico.

Esempi di rischi

L’ambiguità omografica non è purtroppo un’ambiguità innocua dal punto di vista della sicurezza: la sostituzione di caratteri graficamente uguali (ma diversi nella sostanza) potrebbero essere utilizzati per reindirizzarci ad un dominio malevolo, ad un sito trappola che possa rubarci le credenziali, eventualmente ricorrendo a forme di falsificazione dei certificati SSL. Ci sono moltissime trappole nascoste in un meccanismo del genere e, nonostante non sia probabilmente un attacco all’ordine del giorno, nell’uso quotidiano è facile imbattersi in link che ci convincano con l’inganno di essere su un sito ufficiale, quando in realtà non lo siamo affatto.

L’ IDN homographic attack viene usato nel phishing e nella creazione di fake news. Il più classico degli attacchi phishing si basa sulla clonazione di una o più pagine di un sito web, tipicamente le pagine di login o comunque pagine nelle quali bisogna inserire dati: codici, password ecc.. L’utente, davanti all’indirizzo http://bancax.it, potrebbe pensare si tratti realmente della sua banca, ma il criminale informato che sta mettendo in atto l’attacco omografico, ha provveduto a sostiuitre il carattere latino a con l’omografo cirillico, ciò vuol dire che si sta accedendo a un sito diverso. Ignaro del pericolo, l’utente inserirà le proprie credenziali nel sito fraudolento che verranno prontamente raccolte dall’attaccante.

Grazie a queste tecniche, vengono sviluppati veri e propri siti attraverso i quali si diffondono fake news. Un tempo venivano create mediante immagini che ricalcavano la pagina web di una testata giornalistica, ora basta sostituire un carattere di testataimportante.it, con un omografo di un altro alfabeto e si crederà di stare leggendo una notizia messa in circolo da fonte seria e attendibile

Come difendersi

Potrà sembrare impossibile difendersi da questo tipo di frodi, come fa un utente a capire se si tratta del sito reale o della sua copia fraudolenta se i caratteri componenti l’url sono identici?
Esistono delle estensioni per i principali browser, come IDN Safe, che riconoscono e bloccano i siti malevoli.
Se installate IDN Safe e digitate nella barra degli indirizzi аpple.com (non fatelo senza IDN Safe), verrete allertati, lo scudo verde, simbolo dell’estensione, da verde diventerà rosso.

Oltre all’installazione di plugin ad hoc, è sempre buona norma seguire delle semplici precauzioni:

  • Mantenere aggiornato il proprio browser
  • Verificare che il sito web faccia uso del protocollo https, cioè abbia un certificato SSL, in modo da validare l’autenticità dell’autore.
  • Evitare di cliccare collegamenti all’interno di email, chat, post nei social network senza aver verificato, visualizzandolo, che il link sia affidabile.

Esempio pratico di attacco omografico

Il ricercatore informatico Graham Cluley ha realizzato un esperimento molto interessante relativo agli attacchi informatici omografici. Come già accennato, nello standard tipografico Unicode, ci sono due modi per definire la lettera a: uno per la a standard, l’altro è la a in cirillico; questo permette di scrivere delle stringhe, come ad esempio il nome di un dominio, visivamente identiche ma che fanno riferimento a due siti diversi.

Utilizzando la codifica Punycode dei caratteri cirillici, ha dimostrato come fosse possibile far vedere nelle versioni non aggiornate di alcuni browser il dominio “apple.com” in realtà registrato come “xn--80ak6aa92e.com” (sistema Punycode).

In pratica il rischio è legato alla possibilità di scrivere lo stesso indirizzo URL con due codifiche indistinguibili tra di loro, per cui avremmo:

  • аpple.com (con la “a” in cirillico) – la cui codifica internazionalizzata è  xn--80ak6aa92e.com

che è diverso da

  • apple.com (con la “a” standard) – la cui codifica internazionalizzata è xn--pple-43d.com
Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Quando www.sito.com è DIVERSO da www.sito.com di Carmelo Marasco su Trovalost.it
Quando www.sito.com è DIVERSO da www.sito.com (Guide, Assistenza Tecnica, Mondo Domini)

Articoli più letti su questi argomenti:
Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo