-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Czy widzicie tę niewinną kropkę w adresie allegrolokalnie? Przestępcy próbują was oszukać w nietypowy sposób.

24 stycznia 2022, 20:43 | W biegu | komentarze 3

O temacie donosi CERT Orange. Niby klasyczna gadka prowadząca do tego aby ofiara kliknęła linka i podała swoje dane logowania (do banku / do Allegro / dane karty płatniczej / inne wrażliwe dane – scenariusze się zmieniają), ale uwagę przykuwa nieco dziwna litera e:

Przy okazji rejestrując domenę zgubiono literę i – allegrolokalne vs allegrolokalnie

Jeśli ktoś uważnie czyta sekuraka, pewnie pamięta podobnej klasy ataki na mBank:

… oraz inne banki:

Co to za dziwne litery? W skrócie – mechanizm zwie się punycode (tutaj pisaliśmy o nim więcej) i umożliwia użycie liter z nieco bardziej egzotycznych alfabetów w nazwie domeny.

Różne przeglądarki różnie interpretują punnycode – Firefox domyślnie jest „podatny”; dla odmiany Chrome wykona odpowiednią zmianę (w pasku przeglądarki zobaczymy np. www.xn--allegrolokalne-xlb.com zamiast www.allegrolokalnìe.com – można się będzie więc połapać o możliwym ataku).

Swoją drogą ta jeszcze inna domena (www.allegrolokalnìe.com) to kolejny wariant ataku (blokowany zresztą przez Orange).

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Patryk

    Warto dodac ze FireFoxa mozna „uodpornic” na tego typu atak:
    about:config
    network.IDN_show_punycode = True

    Odpowiedz
  2. sdfsa

    Przecież wszystkie znaki poza standardowego alfabetu angielskiego miały być blokowane. to wystarczy by taki syf zlikwidować.
    poza tym co ma uzytkownik klikać? link od kupującego?przecież to zrobi tylko debil który powinien być sądownie wykluczony cyfrowo bo jego mózg nigdy internetów nie ogarnie

    Odpowiedz
    • Ktosiek

      Dzieki takim znaczkom mozna sprzedac wiecej domen, sprzedana zywiec.pl nie ma pronlemu kup jeszcze żywiec.pl aby ktos nie zrobil przekretu na twojej marce

      Odpowiedz

Odpowiedz na sdfsa