Ataque Homográfico – Phishing

Este é o desafio proposto no post anterior: você clica em um link em seu mensageiro ou e-mail e vai para o site https://аррӏе.com. Seu navegador mostra o ícone do cadeadofig1 verde, confirmando que é uma conexão segura; e diz “Conexão segura” ao lado dele, para aumentar a segurança. E, no entanto, você está sendo vítima de phishing. Você sabe como?

A resposta está nessa URL. Pode parecer que estamos lendo “apple”, mas na verdade é um monte de caracteres Cirílicos: A, Er, Er, Palochka, Ie. O certificado de segurança é real, mas apenas confirma que você tem uma conexão segura para o аррӏе.com – o que não diz se você está conectado a um site legítimo ou não.

Um domínio para prova de conceito (https://аррӏе.com) foi montado por Xudong Zheng, um pesquisador de segurança que queria demonstrar o problema com a forma como os nomes de domínios podem ser registrados e exibidos. Durante muito tempo, os nomes de domínio só poderiam ser escritos em caracteres latinos sem diacríticos, mas desde 1998 tornou-se possível também escrevê-los em outros alfabetos. Isso é útil se você deseja registrar um nome de domínio em chinês ou árabe, ou mesmo apenas escrevê-lo corretamente em português ou alemão – qualquer coisa que possa ser representada com o padrão Unicode pode ser registrada, até mesmo um emoji – mas também abriu uma nova avenida na direção errada para os atores mal-intencionados aproveitarem, encontrando caracteres em outros alfabetos que se parecem com os latinos.

Pela perspectiva da segurança, os domínios Unicode podem ser problemáticos porque muitos caracteres Unicode são difíceis de distinguir de caracteres ASCII comuns. É possível registrar domínios como ‘xn--pple-43d.com’, o que equivale a ‘аpple.com’. Pode não ser óbvio à primeira vista, mas ‘аpple.com’ usa o cirílico ‘а’ (U + 0430) em vez do ASCII “a” (U + 0041). Isso é conhecido como um ataque homográfico.

Alguns navegadores estão atentos a esses truques e, se perceberem, exibirão o nome de domínio subjacente. fig2Uma abordagem comum é rejeitar qualquer nome de domínio que contenha vários alfabetos. Mas isso não funciona se o todo estiver escrito no mesmo alfabeto.

O Safari da Apple e o Microsoft Edge já acham que o domínio falsificado de Zheng é uma fraude, o Google Chrome exibe na barra de endereços fig3https://xn--80ak6aa92e.com/, como é registrado o domínio “аррӏе.com”; e o Mozilla Firefox (estou usando o Quantum) exibe o nome аррӏе.com (primeira figura do post).

No Whatsapp (ver post anterior) é bastante óbvio que algo está acontecendo, o tipo de fonte usada por este mensageiro deixa bem claro. A URL  http://вотісагіо.com/?vale-presente me remeteu ao domínio: xn--80ade6bcpg4nd.com; no entanto os navegadores que testei no Android exibem o domínio na forma homográfica na barra de endereço. É preciso ficar atento, em algum momento alguma informação pessoal será solicitada!

345

Zheng diz, em seu blog, que “Este erro foi relatado ao Chrome e ao Firefox em 20 de janeiro de 2017 … A equipe do Chrome decidiu incluir a correção no Chrome 58.” No entanto, a Mozilla se recusou a corrigi-lo, argumentando que é problema da Apple resolver: “é infelizmente a responsabilidade dos proprietários de domínio verificarem as homografias e registrá-las”.

O próprio Zheng oferece conselhos aos usuários: use um gerenciador de senhas e tente identificar os ataques de phishing antes de clicar em qualquer link. “Em geral, os usuários devem ter muito cuidado e prestar atenção ao URL ao inserir informações pessoais. Até que isso seja corrigido, os usuários devem digitar manualmente a URL ou navegar para o site através de um mecanismo de pesquisa em caso de dúvida. ”

Eu acrescentaria um conselho aos administradores dos sites: assumir que as credenciais de alguns de seus usuários foram roubadas (que em quase 100% dos casos é verdade) e tomar medidas adequadas para identificar os acessos às contas, como dispositivo irregular, localização geográfica irregular ou atividade anormal na conta.

Diariamente eu vejo, em todos os meios de comunicações, algo como: “o cadeado de segurança nas páginas de internet, comprova que se trata mesmo do site do banco e não um site falso”. Pura asneira! As páginas que apresentam o cadeado penas usam o HTTPS, criptografia para embaralhar as informações de um modo que elas só possam ser compreendidas pelo receptor.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s