-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Przeoczyłeś malutką kropkę w adresie? Możesz wylądować na stronie-scamie, a Chrome tym razem Cię nie ochroni

30 stycznia 2023, 17:08 | W biegu | komentarzy 14

Być może pamiętacie scamy które opisywaliśmy w kontekście prób ataków na klientów mBanku:

Uważne oko dostrzeże w adresie kropkę lub przecinek (więcej o temacie: punycode). Tymczasem zobaczcie na ten (cały czas aktywny) scam, próbujący nabrać użytkowników Ledgera:

Wprawne oko wykrywacza scamów wyłapie dziwną literę i w adresie powyżej. Nieco dokładniej tę literę ı można obejrzeć tutaj:

Co ciekawe zarówno w Chrome jak i np. Firefoksie adres ten nie zostanie „rozwiązany” do postaci https://www.xn--ledger-lve-4ub[.]com

Jeśli chcecie „pobawić się” nieszkodliwym przykładem takie domeny – zerknijcie tutaj.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. piotr

    Mój Chrome się oburza i pyta czy chodziło mi o „sekurak.pl” ;)

    Odpowiedz
    • Dziwny gość

      A mój że nbzp.pl xD pozdrowienia dla PK :P

      Odpowiedz
    • Wiktor

      U mnie żadna przeglądarka się nie oburzyła, ale pomocne w tym jest menadżer haseł, gdyż nie wyskocza Ci wtedy dane do logowania i wtedy powinno zaświcić ci światełko, aczkolwiek z ledger live nie zczaiłem od razu.

      Odpowiedz
    • BartekSzzz

      Chrome ostrzegł, natomiast nie rozkodował adresu. Kropka w adresie wygląda jak brud na matrycy, ciężka do wychwycenia :)

      Odpowiedz
  2. #

    Po co się bawić kropkami, skoro 'a’ łacińskie i 'а’ z cyrylicy wyglądają tak samo?

    Odpowiedz
  3. Michał

    Kolejny raz dajecie działający IoC zamiast go zgłosić jako porzadny serwis do CERT Polska, zeby przyblokowali domenę na swoich listach. Tragedia…

    Odpowiedz
  4. zakius

    no to przed chromem i klonami powinno się chronić użytkowników: tragiczny UX, koszmarne API rozszerzeń uniemożliwiające jego poprawę, do tego rozmyty tekst (chredge niby ma poprawkę, ale renderuje pixel perfect ten sam syf, co inne klony chromium)…
    ale w kwestii bezpieczeństwa jak zawsze, niezależnie od wyglądu domena się różni więc autofille nie zadziałają, a to sporo jednak daje

    Odpowiedz
  5. eRIZ

    Dlatego zielone kłódki były bardzo dobrym rozwiązaniem. Teraz trzeba ręcznie zaglądać w schowane info o wystawcy certyfikatu.

    Odpowiedz
    • M

      Że co? Mylisz fakty,
      zielone kłódki dawały tylko złudne poczucie bezpieczeństwa (każdy teraz ma https chociażby darmowy od letsencrypt, złośliwe strony również).

      Osobna kwestia to utrudniony dostęp do danych z certyfikatu (już nie „na wierzchu” tylko trzeba wejść w szczegóły certyfikatu). Szkoda, tego zabiegu akurat nigdy nie zrozumiałem, jaki niby miał cel. (Dodatkowych kilka kliknięć marnuje czas i może zniechęcać.)

      Odpowiedz
  6. Jacek

    „network.IDN_show_punycode = true” powinno być domyślnym ustawieniem w Firefoksie i wszelkie akcje z homografami czy „brudnym monitorem: ;) nie przejdą, jeśli oczywiście user nie postara się za bardzo – bo wtedy to wszystko przejdzie.

    Odpowiedz
  7. Czesio

    na pasku adresu mam co mam (FF), natomiast tytul taba to xn--sekurak-eib.pl

    Odpowiedz
  8. Bartek

    Dlatego w firefoxie warto wylaczyc pokazywanie oryginalnego PunnyCode:

    about:config
    network.IDN_show_punycode -> True

    Odpowiedz
  9. Url

    Dlatego mam stronę banku w zakładach :)

    Odpowiedz
  10. Art
    Odpowiedz

Odpowiedz