Un investigador chino de seguridad informática ha avisado sobre un ataque de phishing “casi imposible de detectar” el que puede ser utilizado para engañar incluso a los usuarios más cuidadosos en Internet.

Advirtió que los hackers pueden usar de una conocida vulnerabilidad en los navegadores web Chrome, Firefox y Opera para mostrar sus falsos nombres de dominio como sitios web de servicios legítimos, tales como Apple, Google o Amazon para robar credenciales de inicio de sesión o financieras y otra información sensible de los usuarios.

¿Cuál es la mejor defensa contra el ataque de phishing? Generalmente, comprobar en la barra de direcciones después de que la página se ha cargado y si se está conectado a través de una conexión HTTPS válida. ¿Correcto?

OK, entonces antes de ir a los detalles en profundidad, en primer lugar, eche un vistazo a esta página web de demostración (nota: puede experimentar tiempo de inactividad debido al tráfico alto en el servidor de demostración), creada por el investigador chino de seguridad Xudong Zheng, que descubrió el ataque.

“Es imposible identificar el sitio como fraudulento sin inspeccionar cuidadosamente la URL del sitio o el certificado SSL”. Dijo Xudong Zheng en una entrada de su blog.

Si al acceder a la página web de demostración, su navegador web muestra ” apple.com “ en la barra de direcciones protegida con SSL, pero como el contenido de la página procede de otro servidor (como se muestra en la imagen anterior), su navegador es vulnerable al ataque homográfico.

Existe otro sitio web con una prueba de concepto creada por expertos en seguridad de Wordfence para demostrar la vulnerabilidad de estos navegadores. Es sobre el dominio de ” epic.com “.

El ataque homográfico ha sido conocido desde el 2001, pero los desarrolladores de navegadores han luchado para solucionar el problema. Es una especie de ataque de suplantación donde una dirección de un sitio web parece legítima, pero no lo es porque un carácter o caracteres han sido sustituidos engañosamente por caracteres Unicode.

No importa cuánto consciente eres, cualquiera puede ser víctima de este “casi imposible de detectar” ataque de phishing.

Muchos caracteres Unicode, que representan alfabetos como griego, cirílico y armenio en nombres de dominio internacionalizados, se parecen a las letras latinas para el ojo casual, pero son tratados de manera diferente por ordenadores con la dirección web completamente diferente.

Por ejemplo, el Cirílico “а” (U + 0430) y el Latino “a” (U + 0041) son tratados diferentes por los navegadores web, pero se muestran “a” en la dirección del navegador.

Ataques de phishing Punycode

De forma predeterminada, muchos navegadores web utilizan la codificación ” Punycode ” para representar caracteres unicode en la URL para defenderse de los ataques de phishing homográfico.

Punycode es una codificación especial utilizada por los navegadores web para convertir caracteres unicode al conjunto de caracteres limitado de ASCII (AZ, 0-9), compatible con el sistema de Nombres de Dominio Internacionales (IDNs).

Por ejemplo, el dominio chino ” 短 .co “ se representa en Punycode como “xn--s7y.co”.

Según Zheng, la brecha se basa en el hecho de que si alguien elige todos los caracteres de un nombre de dominio de un único juego de caracteres de idioma extranjero, parecido exactamente al mismo que el dominio de destino, los navegadores lo harán en el mismo idioma, en lugar de Punycode .

Esta brecha permitió al investigador registrar un nombre de dominio xn--80ak6aa92e.com y evitar la protección, que aparece como ” apple.com “ por todos los navegadores web vulnerables, incluyendo Chrome, Firefox y Opera, aunque Internet Explorer, Microsoft Edge, Apple Safari, Bravo y Vivaldi no son vulnerables. Otros navegadores web basados en Chrome y Firefox también son vulnerables.

Aquí, el prefijo xn- es conocido como un prefijo de codificación compatible con ASCII, que indica el navegador web que el dominio utiliza codificación “punycode” para representar caracteres Unicode, y porque Zheng usa el cirílico “а” (U + 0430) en lugar de El ASCII “a” (U + 0041), entonces el enfoque de defensa implementado por el navegador web falla.

Zheng ha reportado este problema a los desarrolladores de los navegadores web afectados, incluyendo Google y Mozilla en Enero de este año.

Aunque Mozilla todavía está discutiendo una solución, Google ya ha reparado la vulnerabilidad en su versión experimental de Chrome Canary 59 y presentará una solución permanente con el lanzamiento de Chrome Estable 58, que se lanzará a finales de este mes.

Mientras tanto, se recomienda a millones de usuarios de Internet que están en riesgo de este sofisticado ataque de phishing de difícil detección, a deshabilitar el soporte de Punycode en sus navegadores web para mitigar temporalmente este ataque e identificar tales dominios de phishing.

Cómo prevenir los ataques de phishing homográficos

Los usuarios de Firefox pueden seguir los pasos mencionados a continuación para aplicar manualmente la mitigación temporal:

Escriba about: config en la barra de direcciones y presione Enter.

Escriba Punycode en la barra de búsqueda.

La configuración del navegador mostrará el parámetro titulado: network.IDN_show_punycode , haga doble clic o haga clic con el botón derecho del ratón y seleccione Toggle (Cambiar) para poner el valor de False a True .

Al hacer este cambio si accede a la página web de demostración el navegador Firefox le mostrará “xn--80ak6aa92e.com/” en la URL, en vez de “apple.com”

Desafortunadamente, no existe una configuración similar disponible en Chrome o Opera para inhabilitar manualmente las conversiones de URL de Punycode, por lo que los usuarios de Chrome tienen que esperar las próximas semanas para obtener la versión estable # 58.

Aunque hay algunas extensiones/complementos de Chrome de terceros disponibles en la Google Store que los usuarios pueden instalar para obtener alertas cada vez que encuentren algún sitio web con caracteres Unicode en el dominio.

Mientras tanto, una de las mejores maneras de protegerse de los ataques homográficos es usar un buen gestor de contraseñas que viene como extensiones de navegador, que introducen automáticamente en sus credenciales de inicio de sesión los dominios reales a los que están enlazados.

Por lo tanto, cada vez que se encuentre con cualquier dominio que parece legítimo “apple.com” o “amazon.com”, pero en realidad no lo es, su software administrador de contraseñas lo detectará y no le autenticará automáticamente en ese sitio de phishing.

Además, siempre se aconseja a los usuarios de Internet que escriban manualmente las URL de los sitios web en la barra de direcciones de sitios importantes como Gmail, Facebook, Twitter, Yahoo o sitios web bancarios, en lugar de hacer clic en cualquier enlace mencionado en algún sitio web o correo electrónico para evitar estos ataques.

Fuente: thehackernews

Anuncios