Nowa wersja sprytnego ataku na klientów mBank, jest też wariant na Pekao SA

Ostatnio pisaliśmy o dość nietypowym ataku na klientów mBanku (nie mylić z mBạnkiem) – zobaczcie na adres URL z „dziwną” literą ạ:

Mamy też kolejny wariant, który wykorzystuje trochę nietypową literę n – czyli tę: mbaņk

Paweł Piekutowski informuje również jeszcze o innym ataku – tym razem celem byli/są biznesowi klienci banku Pekao SA:

Na komputerach domyślnie „podatną” na takie tricki jest przeglądarka Firefox, choć ręcznie możemy zmienić ustawienia tak, żeby w pasku adresu nie pokazywały się dziwne litery spoza standardowego alfabetu.

W pasku adresu wystarczy wpisać: about:config a następnie wprowadzić np. ciąg: punyco (tak aby znaleźć odpowiednie ustawienie, widoczne poniżej). Na koniec zmieniamy wartość ustawienia network.IDN_show_punycode na true.

Różnice w działaniu Firefoksa, możecie zobaczyć poniżej (po lewej ze zmianą ww. ustawień, po prawej – ustawienia domyślne).

Ataki bazujące na punnycode nie są częste (zapewne za sprawą tego, że najpopularniejsza obecnie przeglądarka Chrome od dłuższego czasu nie wyświetli w pasku adresu liter spoza standardowego alfabetu), choć jeszcze w 2019 roku niektórzy obserwowali wzrost ich popularności:

Usage of Punycode grew from being involved in 5.16% of phishing attempts in 2018 to 7% in 2019;

To że ktoś próbuje użyć domen typu online-mbaņk[.]com, być może działa na zasadzie: komu zadziała punycode – tym lepiej; jeśli komuś nie zadziała, to strona i tak się załaduje i może ofiara nieopatrznie poda swoje dane logowania do banku.

Na koniec zwracam uwagę, że temat punycode nie dotyczy tylko przeglądarek desktopowych (nieco wyżej w poście widzicie zrzut ekranowy z przeglądarki mobilnej), a co więcej różne appki mobilne mogą zachowywać się różnie (tutaj nieco starsze badanie pokazujące szybki przegląd problemu. Np. co z appkami: Gmail, Apple Mail, iMessage, Message+, Whatsapp, Facebook Messenger, Skype, Instagram, …? Jeśli ktoś znajdzie nowsze opracowanie – dajcie znać).

Zdarzają się też całkiem duże i świeże wpadki wykorzystujące „dziwne litery” w adresach. Tutaj przykład wpadki w Microsoft Outlooku (załatanej w tym roku). Można było użyć w adresie e-mail punycode, a w szczegółach kontaktu pokazywała się już prawdziwa osoba z prawdziwym adresem:

~Michał Sajdak