Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nowa wersja sprytnego ataku na klientów mBank, jest też wariant na Pekao SA

30 listopada 2021, 10:57 | W biegu | komentarzy 5

Ostatnio pisaliśmy o dość nietypowym ataku na klientów mBanku (nie mylić z mBạnkiem) – zobaczcie na adres URL z „dziwną” literą ạ:

Fot. CSIRT KNF

Mamy też kolejny wariant, który wykorzystuje trochę nietypową literę n – czyli tę: mbaņk

Swoją drogą widzicie różnicę pomiędzy literą ņ na zrzucie a tą w opisie na sekuraku? To ta sama litera, tylko inny font. To dodatkowo potęguje problem.

Paweł Piekutowski informuje również jeszcze o innym ataku – tym razem celem byli/są biznesowi klienci banku Pekao SA:

Na komputerach domyślnie „podatną” na takie tricki jest przeglądarka Firefox, choć ręcznie możemy zmienić ustawienia tak, żeby w pasku adresu nie pokazywały się dziwne litery spoza standardowego alfabetu.

W pasku adresu wystarczy wpisać: about:config a następnie wprowadzić np. ciąg: punyco (tak aby znaleźć odpowiednie ustawienie, widoczne poniżej). Na koniec zmieniamy wartość ustawienia network.IDN_show_punycode na true.

Domyślne ustawienia w Firefoksie. Warto zmienić wartość network.IDN_show_punycode na true

Różnice w działaniu Firefoksa, możecie zobaczyć poniżej (po lewej ze zmianą ww. ustawień, po prawej – ustawienia domyślne).

Ataki bazujące na punnycode nie są częste (zapewne za sprawą tego, że najpopularniejsza obecnie przeglądarka Chrome od dłuższego czasu nie wyświetli w pasku adresu liter spoza standardowego alfabetu), choć jeszcze w 2019 roku niektórzy obserwowali wzrost ich popularności:

Usage of Punycode grew from being involved in 5.16% of phishing attempts in 2018 to 7% in 2019;

To że ktoś próbuje użyć domen typu online-mbaņk[.]com, być może działa na zasadzie: komu zadziała punycode – tym lepiej; jeśli komuś nie zadziała, to strona i tak się załaduje i może ofiara nieopatrznie poda swoje dane logowania do banku.

Na koniec zwracam uwagę, że temat punycode nie dotyczy tylko przeglądarek desktopowych (nieco wyżej w poście widzicie zrzut ekranowy z przeglądarki mobilnej), a co więcej różne appki mobilne mogą zachowywać się różnie (tutaj nieco starsze badanie pokazujące szybki przegląd problemu. Np. co z appkami: Gmail, Apple Mail, iMessage, Message+, Whatsapp, Facebook Messenger, Skype, Instagram, …? Jeśli ktoś znajdzie nowsze opracowanie – dajcie znać).

Zdarzają się też całkiem duże i świeże wpadki wykorzystujące „dziwne litery” w adresach. Tutaj przykład wpadki w Microsoft Outlooku (załatanej w tym roku). Można było użyć w adresie e-mail punycode, a w szczegółach kontaktu pokazywała się już prawdziwa osoba z prawdziwym adresem:

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Lot i Lufthansa też „cierpiały” na podobny problem.

    Odpowiedz
  2. Yg

    Zastanawia mnie jak duże jest _legalne_ użycie punycode w innych krajach? U nas chyba jakoś się nie przyjęło. Nikt nie cierpi z powodu domeny bez polskich znaków.

    Odpowiedz
    • Ciężko powiedzieć, chociaż większość świata ma jednak „nienormalne” alfabety ;)

      Odpowiedz
  3. Mickey

    Nie wiem czy przeoczyłem we wpisie ale przydałby się link do strony testującej przeglądarkę (w innym wpisie był).

    „Apple.com”
    https://www.xn--80ak6aa92e.com/

    Zmieniłem w Firefoxie ustawienia i już nie ma problemu. Tylko pytanie dlaczego punycode nie jest domyślnie wyłączone?!

    Odpowiedz
  4. SzP

    Bardziej wredny przypadek jest z „naszą” literką I (łacinka) i z tą samą (graficznie) literą І z cyrylicy – graficznie tożsame, w unicode różne ;)

    Odpowiedz

Odpowiedz