Tabla de contenidos
El ataque de phishing homógrafo ha vuelto y es imposible de detectar
Han llegado noticias de un investigador de información chino que, según los informes, ha redescubierto la vulnerabilidad de los navegadores web a una determinada estafa de phishing que puede tomar desprevenidos incluso a los usuarios más cuidadosos. El investigador ha confirmado que la vulnerabilidad es absolutamente imposible de rastrear en la mayoría de las versiones de los navegadores Firefox, Opera y Chrome. Lo que es más grave, también es bastante imposible rastrear el truco en las versiones móviles de estos navegadores.
Los dominios de apariencia legítima podrían ser falsos
El error principal causado por el ataque de la pesca de homógrafos es falsificar nombres de dominio absolutamente falsos y hacer que se parezcan a las réplicas exactas de servicios como Apple, Google o Amazon. La mayoría de los usuarios no podrán decir la razón por la que un dominio legítimo muestra un extraño mensaje de error. En el proceso, es posible que terminen proporcionando credenciales confidenciales de inicio de sesión y cuentas financieras.
Esto podría ser particularmente ofensivo si el ataque está destinado a robar datos confidenciales o solicita a los usuarios que reafirmen sus credenciales de inicio de sesión antes de continuar.
Mire estos ejemplos de sitio web falso
Se podría decir que es casi imposible superar al sitio web. apple.com y aún no estar en el sitio web de Apple. Sin embargo, esto es exactamente lo que el investigador ha negado en este página de demostración aquí. También podría experimentar un ligero tiempo de inactividad, ya que muchas personas están mirando la página en este momento (incluidos algunos en Apple, con suerte).
El sitio web falso de Apple
Sitio web real de Apple
El descubridor del ataque Xudong Pengm ha escrito un blog detallado en el mismo. Él dice:
"Para los usuarios habituales, es casi imposible decir que el sitio es fraudulento (o al menos no auténtico) sin buscar la URL del sitio o su certificado SSL con mucho cuidado".
En caso de que el campo de su navegador muestre las palabras "apple.com" y, en su lugar, muestre el mensaje de error en lugar del sitio web original, es un caso seguro de que su navegador web es vulnerable al malicioso ataque homógrafo.
En otro sitio web ejemplo de sitio web de investigación, Wordfence se ha burlado con éxito del nombre de dominio "epic.com”Mediante el uso de un complejo sistema de nomenclatura en la compra del dominio.
El ataque es bastante antiguo en sí mismo.
Los primeros relatos de ataques homógrafos datan de 2001. Sin embargo, la mayoría de los navegadores han tenido dificultades para tratar de corregir el ataque por sí mismos. Es un ataque totalmente falso en el que los investigadores / piratas informáticos reemplazan las palabras del alfabeto inglés con caracteres Unicode.
Independientemente de lo cuidadoso que sea con estos ataques, es casi imposible detectar la falla.
Los dominios se compran con caracteres Unicode
Hay muchos caracteres Unicode que representan letras de diferentes idiomas, incluidos cirílico, griego y armenio en dominios que están internacionalizados para mayor comodidad. A simple vista, estas letras se ven exactamente idénticas a las letras latinas. Sin embargo, algunos navegadores los tratan de manera diferente, mostrando nombres totalmente diferentes en el campo del navegador.
Ataques de Punycode
Muchos navegadores web modernos utilizan "Punycode. " Es un tipo especial de codificación de los navegadores web que ayuda a convertir caracteres Unicode a los juegos de caracteres limitados que representan ASCII. Este es el conjunto aceptado de variaciones admitidas por el mecanismo de nombres de dominio internacionales o IDN.
Zheng afirma que en caso de que alguien elija todos los caracteres del mismo idioma extranjero al registrar el dominio, la laguna de los navegadores lo convertirán al nombre de dominio de destino en lugar de representar el formato Punycode.
xn--80ak6aa92e.com es igual a Apple.com cuando los navegadores lo convierten
Utilizando el mismo vacío legal en los navegadores, Zheng registró un dominio como xn--80ak6aa92e.com. En la mayoría de los navegadores, elude rápidamente la protección y aparece como apple.com. Esto incluye Chrome, Firefox y Opera. Sin embargo, es bastante interesante que Internet Explorer, Apple Safari, Vivaldi, Microsoft Edge y Brave no hayan mostrado vulnerabilidad a este tipo de ataque.
Es de destacar que el xn-- prefijo se refiere Codificación de compatibilidad ASCII prefijo. Esto le dice a los navegadores web que hay codificación Punycode en el dominio.
En lugar del ASCII "a" que es (U + 0041), Zheng usa el cirílico "a" (U + 0430). En este caso, este simple reemplazo evita la protección del navegador.
Zheng se ha puesto en contacto con los navegadores asociados y ha informado a Google y Mozilla en el mes de enero.
Están intentando soluciones
Por el momento, Mozilla está probando diferentes métodos para generar una solución. Pero Google ya ha logrado parchear esta vulnerabilidad en su versión experimental de Chrome Canary (59). Prometieron que se implementará una solución permanente con la versión Stable 58 de Google Chrome. El Stable 58 se lanzará a finales de este año.
Mientras tanto, hay millones de usuarios que (sin saberlo) utilizan Punycode en sus navegadores. Es muy recomendable que desactiven el soporte de Punycode en sus navegadores por un tiempo para poder defender este ataque casi imposible de rastrear.
Protección contra ataques de phishing
Para utilizar la mitigación temporal de forma manual, los usuarios de Firefox pueden utilizar este método sencillo:
- Golpear acerca de: config en el campo de dirección del navegador
- Buscar con Punycode
- Busque el título network.IDN_show_punycode y haga clic derecho; utilizar Palanca y cambie la configuración a Cierto de falso. (Ver imagen a continuación)
Para consternación de varios usuarios, no existe una configuración similar disponible que funcione para Chrome u Opera y deshabilite Punycode manualmente. Los usuarios de Chrome deben ser pacientes y esperar la versión Stable 58 de Chrome que saldrá en unas pocas semanas.
Por el momento, hay algunos complementos del navegador que se pueden usar para alertar a los usuarios sin conocimientos técnicos cada vez que un nombre de dominio contiene caracteres Unicode.
Utilice buenos administradores de contraseñas
Una buena forma de evitar estos ataques de phishing es hacer uso de un buen administrador de contraseñas. Almacenarán todas sus credenciales de inicio de sesión e identificarán automáticamente las URL reales y auténticas a las que están vinculadas.
Por lo tanto, la primera señal de advertencia sería que el administrador de contraseñas no le solicite una contraseña almacenada en el campo de inicio de sesión.
Solución para usuarios de Chrome sin conocimientos técnicos
Existe otra manera fácil de adelantarse al juego para cualquiera que tenga dificultades para jugar con configuraciones o instalar complementos. Estos son los pasos:
- Copie siempre la URL y nunca haga clic en (pestaña abierta en un nuevo navegador)
- Pegue la URL en la barra de direcciones y no presione enter
- La URL real aparecerá en su formato Unicode.
Además, siempre es más seguro empezar a copiar direcciones manualmente en lugar de simplemente hacer clic en ellas.
Español 
English 
Français 
Deutsch 
Nederlands 
Română 
¡El ataque de phishing está muy desactualizado hoy en día!
I cant thank you enough for sharing this insightful post! 😊
This was such a well-written and informative article – thank you!
Thanks for sharing such valuable information with us in your post.
Do you suspect your spouse of cheating, are you being overly paranoid or seeing signs of infidelity…Then he sure is cheating: I was in that exact same position when I met Henry through my best friend James who helped me hack into my boyfriend’s phone, it was like a miracle when he helped me clone my boyfriend’s phone and I got first-hand information from his phone. Now I get all his incoming and outgoing text messages, emails, call logs, web browsing history, photos and videos, instant messengers(facebook, whatsapp, bbm, IG etc) , GPS locations, phone taps to get live transmissions on all phone conversations. if you need help contact his gmail on , [email protected], and you can also text, call him, whatsappn on +1(201)4305865, or +1(773)6092741…
Hire a hacker to spy cell phone with a certified job may seem like a good idea, But is not easy as you mint think. Hacking into someone’s cell phone without them knowing is very difficult and require ethical service, mostly if you want to get into the user cellphone device to gain access to sensitive information and change settings, Then get a professional hacker will help you out contact [email protected]. if you looking a way to know how to spy on a cell phone without touch the target devices., he able to get it done. Thanks kelvin.
amigo, necesito tu ayuda
Have you ever wondered if your spouse is cheating on you? As my spouse has always been a big time cheat, we have been married for 15 years now and i always suspect him but i wasn’t sure yet so i came in contact with this hacker Fred who i emailed to hack into his phone and he brought me results in 6hours time and i had access to my husband phone i always seeing his text messages, call logs, whats-app, emails, Facebook, deleted text messages and many more without touching my husband phone or him knowing about the hack then i got to see that he has a child outside without telling me i was in pains but thank God for this great hacker for his wonderful help…i must recommend this hacker as a very best professional you can contact him via gmail :fredv[email protected] and you can text,call him on +15177981808
MY wife is a very smart woman but i showed her that in every thing a man is always a man well i suspected she was hiding a lot from me, she has a mac-book pro she uses and also a Samsung phone i noticed she was cheating on me so i had to hack her phone but i found out that nothing was on her phone so i also hacked into her mac-book. i could not believe all that i saw on her laptop she has all her major text messages on her mac-book, she uses whats-app on her laptop also i found out that she was in a relationship with my friend who i call my brother i had full access to her mac-book and also read all there messages and so many they always hang out at a hotel on Sundays.. All I saw was too much for me to keep to myself. and also a very big thank you to the hacker that made it possible to be an ethical hacker. contact him on [email protected] and you can text,call him on +15177981808
The truly scary thing about undiscovered lies is that they have a greater capacity to diminish us than exposed ones. When people cheat in any arena, they diminish themselves-they threaten their own self-esteem and their relationships with others by undermining the trust they have in their ability to succeed and in their ability to be true. Cheating is the most disrespectful thing one human being can do to another. If you aren’t happy in a relationship, end it before starting another one. respect a person who is loyal in a relationship, by cheating on him or her. If you succeed in cheating on someone, don’t think that the person is a fool, realize that the person trusted you much more than you deserve. If you notice any suspicious act on your partner if he or she is cheating. You need to write MR FRED to help you remotely spoof on the target phone to retrieve text messages, call logs, social media activities, bank information and many more. They deliver the best services and get you the peace of mind you deserve. Email: [email protected] and you can text,call him on +15177981808 Best wishes…
I’m excited to write about [email protected] he is a great and brilliant hacker who penetrated my spouse’s phone without a physical installation app. And I was able to access my spouse’s phone, SMS, Whatsapp, Instagram, Facebook, Wechat, Snapchat, Call Logs, Kik, Twitter and all social media. The most amazing thing there is that he restores all phone deleted text messages. And I also have access to everything including the phone gallery without touching the phone.I can see the whole secret of my spouse. Contact him for any hacking service. He is also a genius in repairing Credit Score, increasing school grade, Clear Criminal Record etc. His service is fast. Contact on: gmail and you can text or whatsapp him on +1 (602) 562‑6646