Este ataque de phishing es casi imposible de detectar, pero agregamos una solución

El ataque de phishing homógrafo ha vuelto y es imposible de detectar

Han llegado noticias de un investigador de información chino que, según los informes, ha redescubierto la vulnerabilidad de los navegadores web a una determinada estafa de phishing que puede tomar desprevenidos incluso a los usuarios más cuidadosos. El investigador ha confirmado que la vulnerabilidad es absolutamente imposible de rastrear en la mayoría de las versiones de los navegadores Firefox, Opera y Chrome. Lo que es más grave, también es bastante imposible rastrear el truco en las versiones móviles de estos navegadores.

Los dominios de apariencia legítima podrían ser falsos

El error principal causado por el ataque de la pesca de homógrafos es falsificar nombres de dominio absolutamente falsos y hacer que se parezcan a las réplicas exactas de servicios como Apple, Google o Amazon. La mayoría de los usuarios no podrán decir la razón por la que un dominio legítimo muestra un extraño mensaje de error. En el proceso, es posible que terminen proporcionando credenciales confidenciales de inicio de sesión y cuentas financieras.

Esto podría ser particularmente ofensivo si el ataque está destinado a robar datos confidenciales o solicita a los usuarios que reafirmen sus credenciales de inicio de sesión antes de continuar.

Mire estos ejemplos de sitio web falso

Se podría decir que es casi imposible superar al sitio web. apple.com y aún no estar en el sitio web de Apple. Sin embargo, esto es exactamente lo que el investigador ha negado en este página de demostración aquí. También podría experimentar un ligero tiempo de inactividad, ya que muchas personas están mirando la página en este momento (incluidos algunos en Apple, con suerte).

• Sitio web falso de Apple
• Sitio web real de Apple

El sitio web falso de Apple

Sitio web real de Apple

El descubridor del ataque Xudong Pengm ha escrito un blog detallado en el mismo. Él dice:

"Para los usuarios habituales, es casi imposible decir que el sitio es fraudulento (o al menos no auténtico) sin buscar la URL del sitio o su certificado SSL con mucho cuidado".

En caso de que el campo de su navegador muestre las palabras "apple.com" y, en su lugar, muestre el mensaje de error en lugar del sitio web original, es un caso seguro de que su navegador web es vulnerable al malicioso ataque homógrafo.

En otro sitio web ejemplo de sitio web de investigación, Wordfence se ha burlado con éxito del nombre de dominio "epic.com”Mediante el uso de un complejo sistema de nomenclatura en la compra del dominio.

El ataque es bastante antiguo en sí mismo.

Los primeros relatos de ataques homógrafos datan de 2001. Sin embargo, la mayoría de los navegadores han tenido dificultades para tratar de corregir el ataque por sí mismos. Es un ataque totalmente falso en el que los investigadores / piratas informáticos reemplazan las palabras del alfabeto inglés con caracteres Unicode.

Independientemente de lo cuidadoso que sea con estos ataques, es casi imposible detectar la falla.

Los dominios se compran con caracteres Unicode

Hay muchos caracteres Unicode que representan letras de diferentes idiomas, incluidos cirílico, griego y armenio en dominios que están internacionalizados para mayor comodidad. A simple vista, estas letras se ven exactamente idénticas a las letras latinas. Sin embargo, algunos navegadores los tratan de manera diferente, mostrando nombres totalmente diferentes en el campo del navegador.

Ataques de Punycode

Muchos navegadores web modernos utilizan "Punycode. " Es un tipo especial de codificación de los navegadores web que ayuda a convertir caracteres Unicode a los juegos de caracteres limitados que representan ASCII. Este es el conjunto aceptado de variaciones admitidas por el mecanismo de nombres de dominio internacionales o IDN.

Zheng afirma que en caso de que alguien elija todos los caracteres del mismo idioma extranjero al registrar el dominio, la laguna de los navegadores lo convertirán al nombre de dominio de destino en lugar de representar el formato Punycode.

xn--80ak6aa92e.com es igual a Apple.com cuando los navegadores lo convierten

Utilizando el mismo vacío legal en los navegadores, Zheng registró un dominio como xn--80ak6aa92e.com. En la mayoría de los navegadores, elude rápidamente la protección y aparece como apple.com. Esto incluye Chrome, Firefox y Opera. Sin embargo, es bastante interesante que Internet Explorer, Apple Safari, Vivaldi, Microsoft Edge y Brave no hayan mostrado vulnerabilidad a este tipo de ataque.

Es de destacar que el xn-- prefijo se refiere Codificación de compatibilidad ASCII prefijo. Esto le dice a los navegadores web que hay codificación Punycode en el dominio.

En lugar del ASCII "a" que es (U + 0041), Zheng usa el cirílico "a" (U + 0430). En este caso, este simple reemplazo evita la protección del navegador.

Zheng se ha puesto en contacto con los navegadores asociados y ha informado a Google y Mozilla en el mes de enero.

Están intentando soluciones

Por el momento, Mozilla está probando diferentes métodos para generar una solución. Pero Google ya ha logrado parchear esta vulnerabilidad en su versión experimental de Chrome Canary (59). Prometieron que se implementará una solución permanente con la versión Stable 58 de Google Chrome. El Stable 58 se lanzará a finales de este año.

Mientras tanto, hay millones de usuarios que (sin saberlo) utilizan Punycode en sus navegadores. Es muy recomendable que desactiven el soporte de Punycode en sus navegadores por un tiempo para poder defender este ataque casi imposible de rastrear.

Protección contra ataques de phishing

Para utilizar la mitigación temporal de forma manual, los usuarios de Firefox pueden utilizar este método sencillo:

1. Golpear acerca de: config en el campo de dirección del navegador
2. Buscar con Punycode
3. Busque el título network.IDN_show_punycode y haga clic derecho; utilizar Palanca y cambie la configuración a Cierto de falso. (Ver imagen a continuación)

Para consternación de varios usuarios, no existe una configuración similar disponible que funcione para Chrome u Opera y deshabilite Punycode manualmente. Los usuarios de Chrome deben ser pacientes y esperar la versión Stable 58 de Chrome que saldrá en unas pocas semanas.

Por el momento, hay algunos complementos del navegador que se pueden usar para alertar a los usuarios sin conocimientos técnicos cada vez que un nombre de dominio contiene caracteres Unicode.

Utilice buenos administradores de contraseñas

Una buena forma de evitar estos ataques de phishing es hacer uso de un buen administrador de contraseñas. Almacenarán todas sus credenciales de inicio de sesión e identificarán automáticamente las URL reales y auténticas a las que están vinculadas.

Por lo tanto, la primera señal de advertencia sería que el administrador de contraseñas no le solicite una contraseña almacenada en el campo de inicio de sesión.

Solución para usuarios de Chrome sin conocimientos técnicos

Existe otra manera fácil de adelantarse al juego para cualquiera que tenga dificultades para jugar con configuraciones o instalar complementos. Estos son los pasos:

1. Copie siempre la URL y nunca haga clic en (pestaña abierta en un nuevo navegador)
2. Pegue la URL en la barra de direcciones y no presione enter
3. La URL real aparecerá en su formato Unicode.

Además, siempre es más seguro empezar a copiar direcciones manualmente en lugar de simplemente hacer clic en ellas.