L'attacco phishing impossibile da rilevare

Un piccolo trucco mette in scacco Firefox, Chrome e Opera.



[ZEUS News - www.zeusnews.it - 18-04-2017]

phishing attack

Il primo modo per difendersi dal phishing sta nel prendere buone abitudini quando si naviga nel web.

Tra queste, particolarmente semplice e utile è controllare attentamente che l'URL mostrato nella barra degli indirizzi corrisponda a quanto viene visualizzato nella finestra, e che la rassicurante scritta Https preceda il dominio.

Un ricercatore cinese ha però scoperto un modo per aggirare questa precauzione, dando a tutti gli effetti vita a un attacco di phishing che per l'utente è «quasi impossibile da individuare».

Il ricercatore in questione si chiama Xydong Zheng. Egli ha non soltanto pubblicato un post sul proprio blog nel quale descrive in dettaglio il problema, ma ha anche realizzato una pagina dimostrativa.

Visitando detta pagina con Chrome, Opera o Firefox, una rapida occhiata alla barra degli indirizzi indicherà che ci si trova sul sito di Apple, e che la connessione è crittografata. Eppure, con tutta evidenza le cose non stanno così.

I tre browser indicati sono purtroppo involontari complici dell'attacco omografo di cui l'utente è caduto vittima: mostrano infatti un indirizzo che sembra quello reale, ma in realtà è semplicemente realizzato usando caratteri simili.

L'attacco si basa sul fatto che molti caratteri Unicode in alfabeti come quello cirillico, greco o armeno sono a una prima occhiata identici a lettere dell'alfabeto latino, anche se ovviamente vengono trattati diversamente dal computer.

Tali caratteri possono essere usati per registrare domini, e dunque sono perfettamente leciti negli indirizzi web.

Per rappresentare i caratteri Unicode usati negli indirizzi, molti browser usano il sistema Punycode: esso li converte in una codifica espressa usando unicamente i caratteri ASCII.

Sondaggio
Hai cambiato fornitore di banda larga (ADSL o fibra ottica) negli ultimi 5 anni?
Sì, una volta
Sì, più di una volta
No, ma lo farò nei prossimi 12 mesi
No, e non lo voglio fare

Mostra i risultati (862 voti)
Leggi i commenti (5)

Se Punycode viene usato per mostrare caratteri provenienti da un unico alfabeto, non c'è problema. Ma quando si mischiano le lingue e gli alfabeti - spiega Zheng - ecco che iniziano i guai.

Grazie al comportamento anomalo adottato dalla codifica Punycode dei browser in presenza di caratteri provenienti da diversi alfabeti, Zheng è riuscito a registrare il dominio xn--80ak6aa92e.com e far sì che venga mostrato come apple.com da Chrome, Firefox e Opera.

La parte iniziale dell'indirizzo - xn-- - indica al browser che il dominio usa Punycode per rappresentare i caratteri Unicode. Poi, al posto una a (codice Unicode U+0041), Zheng ha usato il carattere cirillico che le assomiglia (U+0430).

Al momento in cui scriviamo, Mozilla sta ancora decidendo come sistemare il problema, mentre Google dovrebbe averlo già corretto in Chrome Canary 59 e dovrebbe pubblicare una correzione anche per Chrome 58.

Non sono vulnerabili i browser Internet Explorer, Edge, Safari, Brave e Vivaldi.

firefox
Firefox (Fai clic sull'immagine per visualizzarla ingrandita)
chrome
Chrome (Fai clic sull'immagine per visualizzarla ingrandita)
vivaldi
Vivaldi (Fai clic sull'immagine per visualizzarla ingrandita)

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Per violare Yahoo è bastato un clic
Le finte mail dei servizi di spedizione
L'attacco phishing contro gli utenti Gmail
Il phishing di Equitalia

Commenti all'articolo (ultimi 5 di 9)


Gladiator
Ah ok, strano che si sia aggiornato da solo, di solito mi tocca di farlo manualmente...
24-4-2017 16:17
Ripper_92
L'hanno patchato, col 57 mostrava apple.com mentre ora col 58 mostra l'indirizzo vero e proprio
24-4-2017 16:10

Gladiator
Io uso Chrome 58 a 64 bit e mi mostra l'url https://www.xn--80ak6aa92e.com/ senza aver dovuto fare alcunchè, forse lo hanno già aggiornato ma mi sembra strano perchè Chrome 64 bit, di solito, non si aggiorna da solo ma richiede l'intervento dell'operatore più o meno impegnativo... :?
24-4-2017 16:04
Ripper_92
il quasi uguale non è uguale quindi hanno perfettamente ragione ad essere staccati. :lol: Comunque penso che le ripetizioni siano un fatto puramente di comodità nella programmazione visto che tutti caratteri sono in un blocco contiguo e non un carattere nei 7 bit ascii e un altro l'ultimo dell'unicode. È un po' come nel nostro alfabeto... Leggi tutto
20-4-2017 10:40
{aldolo}
quando si hanno soldi da buttare si implementano anche ste cose inutili. il software costa. se ti puoi permettere certe chicche meglio aumentarti le tasse
20-4-2017 07:06
Leggi gli altri 4 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale mezzo di trasporto pubblico sostituirà quelli attuali nel giro dei prossimi 50 anni?
Evacuated Tube Transport: l'evoluzione dei treni a levitazione magnetica; questi veicoli sono in grado di raggiungere i 6.500 km/h perché viaggiano all'interno di tunnel in cui è creato il vuoto.
String Transport System: cabine sospese fino a 30 metri dal suolo che corrono su binari di acciaio e cemento a oltre 500 km/h.
Tubular Rails: i treni viaggiano a 240 km/h all'interno di anelli sollevati dal suolo che contengono i motori e le ruote, mentre le carrozze ospitano i binari.
I bus viaggiano al di sopra del traffico automobilistico, il quale scorre sotto di loro, usando piccole rotaie poste ai lati della strada.
Shweeb: monorotaia monoposto sospesa e a pedali che permette di raggiungere i 45 km/h.
SolarBullet: il treno ad alta velocità (354 km/h) alimentato a energia solare attualmente allo studio in Arizona (USA).
Treni elettrici che non necessitano di binari perché viaggiano su strada e ricevono l'energia dal sistema contactless installato al di sotto dell'asfalto.
SARTRE: le automobili viaggiano in convogli gestiti dall'intelligenza artificiale; si uniscono i vantaggi del trasporto pubblico alla flessibilità del trasporto privato.
Startram, il maglev orbitale: gli ultimi 20 chilometri del tracciato (di oltre 1.600 km) puntano verso l'alto per portare in orbita i treni.
Ascensore spaziale: una stazione posta a quasi 100.000 km da terra e collegata al suolo da cavi costituiti da nanotubi di carbonio, per portare in orbita uomini e materiali con costi relativamente contenuti.

Mostra i risultati (2568 voti)
Ottobre 2017
n. 2926 del 18-10-2017
Ceo di GitHub: i programmatori sono condannati all'estinzione
n. 2925 del 17-10-2017
Il ransomware per Android che blocca lo smartphone due volte
n. 2924 del 15-10-2017
Il falso Adblock che ha ingannato decine di migliaia di utenti
n. 2923 del 11-10-2017
Windows Media Player sparisce da Windows 10
n. 2922 del 10-10-2017
Disqus violato, rubati i dati di 17,5 milioni di utenti
n. 2921 del 08-10-2017
Il caso dell'iPhone 8 che si gonfia mentre è in carica
n. 2920 del 06-10-2017
Gli auricolari di Google che traducono le conversazioni in tempo reale
n. 2919 del 04-10-2017
La falla in Windows Defender che a Microsoft non interessa
n. 2918 del 02-10-2017
Con un salto quantico, Firefox diventa più veloce di Chrome
Settembre 2017
n. 2917 del 29-09-2017
Internet Explorer spiffera quel che digitiamo nella barra
n. 2916 del 27-09-2017
Windows, gli ultimi aggiornamenti bloccano gli account utente
n. 2915 del 24-09-2017
Violazione di CCleaner, guai più gravi del previsto
n. 2914 del 20-09-2017
Il primo smartphone con Linux davvero libero
n. 2913 del 17-09-2017
Falla nel Bluetooth, vulnerabili 5 miliardi di dispositivi
n. 2912 del 15-09-2017
Se il robot sessuale diventa un terminator
Tutti gli Arretrati
Vecchi articoli
Olimpo Informatico


E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
web metrics