Phishing: questo sito non è quello che sembra (anche se l’indirizzo è corretto)


Abbiamo parlato in molte occasioni di casi di phishing su questo sito, ovvero circostanze in cui un utente sul web viene ingannato da email subdole che lo invitano, il più delle volte, a cliccare su un link malevolo e contrarre cosଠinfezioni di vario tipo (malware, virus, ransomware, ecc.). Non sono rari i casi in cui i siti famosi come Google o Apple.com vengono clonati per indurre l’utente a fare login, consegnando cosଠusername e password ai malintenzionati: motivo per usare la classica contromisura, in questi casi, di controllare con attenzione l’URL a cui si accede volta per volta.

Sembra, ad oggi, che sia uscita fuori una nuova tecnica di phishing, scoperta da ricercatore informatico cinese Xudong Zheng, che ne parla nel suo blog e fornisce una adeguata proof of concept per dimostrare il tutto. Un sito di phishing che, in sostanza, può avere esattamente lo stesso indirizzo dell’URL originale, sulla base di un semplice algoritmo che viene utilizzato per allargare lo spazio degli indirizzi.

Sappiamo che una delle regole principali per distinguere le email autentiche da quelle di phishing consiste nell’analizzare l’URL, ad esempio provando ad identificare l’indirizzo di appartenenza, per cui:

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione


(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

  • accounts.google.com appartiene a Google;
  • accounts-google.com NON appartiene a Google;

e cosଠvia.

Chiunque conosca anche un minimo il funzionamento del DNS dovrebbe essere ingrado di leggere gli URL al contrario, partendo dall’estensione o TLD e procedendo a ritroso, e riconoscere cosଠgli URL malevoli da non cliccare.

Pubblicità – Continua a leggere sotto :-)

(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

Questa tecnica, pero’, si scontra con un paio di eccezioni considerevoli: la prima è stata analizzata su questo blog qualche tempo fa, e consisteva nel nascondere una parte di URL significativo all’utente in modo da invalidare la regola vista poc’anzi. La seconda, che è quella scoperta da Zheng , fa riprodurre l’indirizzo in modo esatto come se fosse quello originale. Cosa ancora più preoccupante, è stato trovato un modo per aggirare il certificato SSL e riprodurlo esattamente, in modo che “ad occhio” non sia davvero possibile identificare l’indirizzo ingannevole da quello autentico.

Di seguito l’esempio del sito della Apple, davvero inquietante perchè è impossibile distinguere il sito web originale da quello farlocco (screen di HackerNews).

Pubblicità – Continua a leggere sotto :-)

Chi pensa, anche tra i lettori più tecnicamente preparati, ad una specie di miracolo non dovrebbe farsi ingannare, e dovrebbe invece ripensare ai punycode, la codifica che viene utilizzate (tra le altre cose) per i nomi di dominio con le lettere accentate. Quello che ha fatto il ricercatore, fortunatamente in buonafede per illustrare la tecnica, è stato semplicemente Chiunque abbastanza esperto avrebbe potuto fingere di essere il sito della Apple, e senza che le vittime se ne accorgessero per tempo.

Con la tecnica mostrata, in sostanza, si rende possibile ad un malintenzionato di ricreare un sito web con le stesse fattezze dell’originale, e sfruttarlo per raccogliere segretamente i dati personali di accesso dell’utente, le password e cosଠvia. Secondo il ricercatore, un buon modo per mitigare questo genere di attacchi è quello di aggiornare i propri browser e sfruttare un password manager, in modo da assicurarsi di accedere all’indirizzo web giusto.

La codifica delle sequenze Punycode nella codifica originaria sono a carico dello user agent, per cui è necessario un aggiornamento apposito dei nostri browser. Al momento in cui scriviamo Mozilla sta lavorando ad un aggiornamento per questo problema (che probabilmente sarà  proposto nella prossima versione in uscita per tutti i sistemi operativi), mentre Google Chrome ha già  pianificato di rilasciarlo con la versione 58 programmata per fine aprile.

Come disattivare i punycode in Firefox lo spiega Hacker News:

  1. digitare about:config nella barra degli indirizzi;
  2. premere Invio;
  3. digitare punycode;
  4. cercare il parametro di nome network.IDN_show_punycode, ed impostarlo a FALSE per disabilitare la codifica e a TRUE per ripristinarla.

(fonte)

Pubblicità – Continua a leggere sotto :-)

(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

👇 Da non perdere 👇



Questo sito web esiste da 4638 giorni (13 anni), e contiene ad oggi 4348 articoli (circa 3.478.400 parole in tutto) e 22 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità – Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.