Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowa wersja sprytnego ataku na klientów mBank, jest też wariant na Pekao SA
Ostatnio pisaliśmy o dość nietypowym ataku na klientów mBanku (nie mylić z mBạnkiem) – zobaczcie na adres URL z „dziwną” literą ạ:
Mamy też kolejny wariant, który wykorzystuje trochę nietypową literę n – czyli tę: mbaņk
Paweł Piekutowski informuje również jeszcze o innym ataku – tym razem celem byli/są biznesowi klienci banku Pekao SA:
Na komputerach domyślnie „podatną” na takie tricki jest przeglądarka Firefox, choć ręcznie możemy zmienić ustawienia tak, żeby w pasku adresu nie pokazywały się dziwne litery spoza standardowego alfabetu.
W pasku adresu wystarczy wpisać: about:config a następnie wprowadzić np. ciąg: punyco (tak aby znaleźć odpowiednie ustawienie, widoczne poniżej). Na koniec zmieniamy wartość ustawienia network.IDN_show_punycode na true.
Różnice w działaniu Firefoksa, możecie zobaczyć poniżej (po lewej ze zmianą ww. ustawień, po prawej – ustawienia domyślne).
Ataki bazujące na punnycode nie są częste (zapewne za sprawą tego, że najpopularniejsza obecnie przeglądarka Chrome od dłuższego czasu nie wyświetli w pasku adresu liter spoza standardowego alfabetu), choć jeszcze w 2019 roku niektórzy obserwowali wzrost ich popularności:
Usage of Punycode grew from being involved in 5.16% of phishing attempts in 2018 to 7% in 2019;
To że ktoś próbuje użyć domen typu online-mbaņk[.]com, być może działa na zasadzie: komu zadziała punycode – tym lepiej; jeśli komuś nie zadziała, to strona i tak się załaduje i może ofiara nieopatrznie poda swoje dane logowania do banku.
Na koniec zwracam uwagę, że temat punycode nie dotyczy tylko przeglądarek desktopowych (nieco wyżej w poście widzicie zrzut ekranowy z przeglądarki mobilnej), a co więcej różne appki mobilne mogą zachowywać się różnie (tutaj nieco starsze badanie pokazujące szybki przegląd problemu. Np. co z appkami: Gmail, Apple Mail, iMessage, Message+, Whatsapp, Facebook Messenger, Skype, Instagram, …? Jeśli ktoś znajdzie nowsze opracowanie – dajcie znać).
Zdarzają się też całkiem duże i świeże wpadki wykorzystujące „dziwne litery” w adresach. Tutaj przykład wpadki w Microsoft Outlooku (załatanej w tym roku). Można było użyć w adresie e-mail punycode, a w szczegółach kontaktu pokazywała się już prawdziwa osoba z prawdziwym adresem:
~Michał Sajdak
Lot i Lufthansa też „cierpiały” na podobny problem.
Zastanawia mnie jak duże jest _legalne_ użycie punycode w innych krajach? U nas chyba jakoś się nie przyjęło. Nikt nie cierpi z powodu domeny bez polskich znaków.
Ciężko powiedzieć, chociaż większość świata ma jednak „nienormalne” alfabety ;)
Nie wiem czy przeoczyłem we wpisie ale przydałby się link do strony testującej przeglądarkę (w innym wpisie był).
„Apple.com”
https://www.xn--80ak6aa92e.com/
Zmieniłem w Firefoxie ustawienia i już nie ma problemu. Tylko pytanie dlaczego punycode nie jest domyślnie wyłączone?!
Bardziej wredny przypadek jest z „naszą” literką I (łacinka) i z tą samą (graficznie) literą І z cyrylicy – graficznie tożsame, w unicode różne ;)