Il primo modo per difendersi dal phishing sta nel prendere buone abitudini quando si naviga nel web.

Tra queste, particolarmente semplice e utile è controllare attentamente che l'URL mostrato nella barra degli indirizzi corrisponda a quanto viene visualizzato nella finestra, e che la rassicurante scritta Https preceda il dominio.

Un ricercatore cinese ha però scoperto un modo per aggirare questa precauzione, dando a tutti gli effetti vita a un attacco di phishing che per l'utente è «quasi impossibile da individuare».

Il ricercatore in questione si chiama Xydong Zheng. Egli ha non soltanto pubblicato un post sul proprio blog nel quale descrive in dettaglio il problema, ma ha anche realizzato una pagina dimostrativa.

Visitando detta pagina con Chrome, Opera o Firefox, una rapida occhiata alla barra degli indirizzi indicherà che ci si trova sul sito di Apple, e che la connessione è crittografata. Eppure, con tutta evidenza le cose non stanno così.

I tre browser indicati sono purtroppo involontari complici dell'attacco omografo di cui l'utente è caduto vittima: mostrano infatti un indirizzo che sembra quello reale, ma in realtà è semplicemente realizzato usando caratteri simili.

L'attacco si basa sul fatto che molti caratteri Unicode in alfabeti come quello cirillico, greco o armeno sono a una prima occhiata identici a lettere dell'alfabeto latino, anche se ovviamente vengono trattati diversamente dal computer.

Tali caratteri possono essere usati per registrare domini, e dunque sono perfettamente leciti negli indirizzi web.

Per rappresentare i caratteri Unicode usati negli indirizzi, molti browser usano il sistema Punycode: esso li converte in una codifica espressa usando unicamente i caratteri ASCII.

Se Punycode viene usato per mostrare caratteri provenienti da un unico alfabeto, non c'è problema. Ma quando si mischiano le lingue e gli alfabeti - spiega Zheng - ecco che iniziano i guai.

Grazie al comportamento anomalo adottato dalla codifica Punycode dei browser in presenza di caratteri provenienti da diversi alfabeti, Zheng è riuscito a registrare il dominio xn--80ak6aa92e.com e far sì che venga mostrato come apple.com da Chrome, Firefox e Opera.

La parte iniziale dell'indirizzo - xn-- - indica al browser che il dominio usa Punycode per rappresentare i caratteri Unicode. Poi, al posto una a (codice Unicode U+0041), Zheng ha usato il carattere cirillico che le assomiglia (U+0430).

Al momento in cui scriviamo, Mozilla sta ancora decidendo come sistemare il problema, mentre Google dovrebbe averlo già corretto in Chrome Canary 59 e dovrebbe pubblicare una correzione anche per Chrome 58.

Non sono vulnerabili i browser Internet Explorer, Edge, Safari, Brave e Vivaldi.

Firefox

Chrome

Vivaldi