Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Phishing: questo sito non è quello che sembra (anche se l’indirizzo è corretto)

Abbiamo parlato in molte occasioni di casi di phishing su questo sito, ovvero circostanze in cui un utente sul web viene ingannato da email subdole che lo invitano, il più delle volte, a cliccare su un link malevolo e contrarre cosଠinfezioni di vario tipo (malware, virus, ransomware, ecc.). Non sono rari i casi in cui i siti famosi come Google o Apple.com vengono clonati per indurre l’utente a fare login, consegnando cosଠusername e password ai malintenzionati: motivo per usare la classica contromisura, in questi casi, di controllare con attenzione l’URL a cui si accede volta per volta.

Sembra, ad oggi, che sia uscita fuori una nuova tecnica di phishing, scoperta da ricercatore informatico cinese Xudong Zheng, che ne parla nel suo blog e fornisce una adeguata proof of concept per dimostrare il tutto. Un sito di phishing che, in sostanza, può avere esattamente lo stesso indirizzo dell’URL originale, sulla base di un semplice algoritmo che viene utilizzato per allargare lo spazio degli indirizzi.

Sappiamo che una delle regole principali per distinguere le email autentiche da quelle di phishing consiste nell’analizzare l’URL, ad esempio provando ad identificare l’indirizzo di appartenenza, per cui:

  • accounts.google.com appartiene a Google;
  • accounts-google.com NON appartiene a Google;

e cosଠvia.

Chiunque conosca anche un minimo il funzionamento del DNS dovrebbe essere ingrado di leggere gli URL al contrario, partendo dall’estensione o TLD e procedendo a ritroso, e riconoscere cosଠgli URL malevoli da non cliccare.

Questa tecnica, pero’, si scontra con un paio di eccezioni considerevoli: la prima è stata analizzata su questo blog qualche tempo fa, e consisteva nel nascondere una parte di URL significativo all’utente in modo da invalidare la regola vista poc’anzi. La seconda, che è quella scoperta da Zheng , fa riprodurre l’indirizzo in modo esatto come se fosse quello originale. Cosa ancora più preoccupante, è stato trovato un modo per aggirare il certificato SSL e riprodurlo esattamente, in modo che “ad occhio” non sia davvero possibile identificare l’indirizzo ingannevole da quello autentico.

Ti potrebbe interessare:  Perchè Faxanadu è stato un retrogame da incubo (in senso buono)

Di seguito l’esempio del sito della Apple, davvero inquietante perchè è impossibile distinguere il sito web originale da quello farlocco (screen di HackerNews).

phishing

Chi pensa, anche tra i lettori più tecnicamente preparati, ad una specie di miracolo non dovrebbe farsi ingannare, e dovrebbe invece ripensare ai punycode, la codifica che viene utilizzate (tra le altre cose) per i nomi di dominio con le lettere accentate. Quello che ha fatto il ricercatore, fortunatamente in buonafede per illustrare la tecnica, è stato semplicemente Chiunque abbastanza esperto avrebbe potuto fingere di essere il sito della Apple, e senza che le vittime se ne accorgessero per tempo.

Con la tecnica mostrata, in sostanza, si rende possibile ad un malintenzionato di ricreare un sito web con le stesse fattezze dell’originale, e sfruttarlo per raccogliere segretamente i dati personali di accesso dell’utente, le password e cosଠvia. Secondo il ricercatore, un buon modo per mitigare questo genere di attacchi è quello di aggiornare i propri browser e sfruttare un password manager, in modo da assicurarsi di accedere all’indirizzo web giusto.

La codifica delle sequenze Punycode nella codifica originaria sono a carico dello user agent, per cui è necessario un aggiornamento apposito dei nostri browser. Al momento in cui scriviamo Mozilla sta lavorando ad un aggiornamento per questo problema (che probabilmente sarà  proposto nella prossima versione in uscita per tutti i sistemi operativi), mentre Google Chrome ha già  pianificato di rilasciarlo con la versione 58 programmata per fine aprile.

Come disattivare i punycode in Firefox lo spiega Hacker News:

  1. digitare about:config nella barra degli indirizzi;
  2. premere Invio;
  3. digitare punycode;
  4. cercare il parametro di nome network.IDN_show_punycode, ed impostarlo a FALSE per disabilitare la codifica e a TRUE per ripristinarla.
Ti potrebbe interessare:  Falle di sicurezza su qualsiasi processore: guida base a Meltdown e Spectre

(fonte)

Da non perdere 👇👇👇



Trovalost esiste da 4435 giorni (12 anni), e contiene ad oggi 4019 articoli (circa 3.215.200 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.