O que é o ataque de phishing Punycode e como se manter seguro

A internet pode ser um lugar perigoso. No início desta semana, falamos sobre um novo e-mail fraudulento tentando convencer os usuários a comprar um serviço VPN falso. O golpe colocou seu dinheiro e seus dados em risco. Felizmente para os diligentes, existem maneiras de identificar um golpe como esse. Nem todos os golpes são fáceis de detectar, e os golpes de phishing ficaram mais inteligentes graças a uma coisinha chamada Punycodes. É uma nova maneira de registrar domínios e, embora não tenha sido desenvolvido para enganar as pessoas, está sendo usado para fazer. Aqui está uma olhada no que é o ataque de phishing Punycode e como se manter seguro.

Ataques de phishing

Um ataque de phishing é quando alguém cria um site malicioso e faz com que pareça um em que você confia. Por exemplo, alguém pode replicar a página de login do Google ou do Facebook até o T. Se você não olhar para o URL que digitou ou para o qual foi redirecionado, achará que está na página certa. Você inserirá suas informações de login e, assim, suas informações serão roubadas.

A Internet está bastante madura agora e os navegadores da Web vêm com excelente segurança. Se você visitar um site duvidoso, seu navegador informará que o site provavelmente não é o que você está procurando. Os ataques de phishing também são de conhecimento comum, então o usuário médio sabe que deve ser cuidadoso.

Domínios Punycode

O registro de domínio Punycode permite que as pessoas registrem domínios com caracteres estrangeiros, ou seja, não ingleses no nome. O conceito não é ruim. Você pode pegar um caractere de um idioma estrangeiro e, usando Punycode, convertê-lo em caracteres ASCII. Se alguém na China registrar um domínio útil especificamente para pessoas na China, é melhor ter o nome de domínio em chinês. Isso torna o nome do site mais fácil de lembrar, se nada mais.

Ataque de Phishing Punycode

Punycode irá converter domínios em línguas estrangeiras, ou domínios usando caracteres estrangeiros, em caracteres ASCII. Infelizmente, quando isso acontece, o caractere ASCII no qual o caractere estrangeiro é convertido usa um subconjunto de caracteres ASCII. Esses caracteres de subconjunto são indistinguíveis dos caracteres normais do inglês.

Caso em questão, esta amostra local na rede Internet desenvolvido por Xudong Zheng para mostrar um ataque de phishing Punycode. Parece que você está visitando o site da Apple porque o URL lê claramente apple.com. Ele não informa que o URL real do site é este: www.xn--80ak6aa92e.com

Xudong Zheng descobriu que isso poderia ser usado como um ataque de phishing e escreveu extensivamente sobre isso, explicando como domínios de caracteres estrangeiros podem ser usados ​​para imitar o URL de sites populares.

Quem está em risco

Os seguintes navegadores estão em risco;

Chrome 57 e versões anteriores
Raposa de fogo
Internet Explorer se você tiver pacotes de idiomas adicionais, especialmente aqueles para russo instalados
Ópera

Quem está seguro

Os usuários dos seguintes navegadores parecem estar seguros;

Microsoft borda
Safári
Internet Explorer se você tiver apenas o idioma inglês instalado em seu sistema

Como se manter seguro

Como você pode ver na lista de navegadores em risco, dois navegadores populares estão nele. O Chrome e o Firefox são afetados, assim como o Opera.

Para os usuários do Chrome, há boas notícias. Para se manter seguro, tudo o que você precisa fazer é atualizar o Chrome para a versão 58. As versões 57 e anteriores são propensas a esse bug.

A versão 58 tem uma correção e agora está no canal estável.

Para usuários do Firefox, há uma preferência que eles podem modificar. Abra o Firefox e vá para a página about:config. Procure a seguinte preferência. Clique duas vezes nele para definir seu valor como True.

network.IDN_show_punycode

O Opera ainda não tem uma solução. Se você conhece uma extensão que pode corrigir esse problema no Opera, informe-nos nos comentários e nós a adicionaremos.

Gerenciadores de senhas

Xudong Zheng sugere o uso de gerenciadores de senhas para se manter seguro. Os gerenciadores de senhas detectam automaticamente o domínio em que você está e se oferecem para preencher suas informações de login. Seu navegador pode ser enganado pelo domínio, mas o gerenciador de senhas não será. Se ele não oferecer o preenchimento de suas informações de login, há uma boa chance de você estar no site errado.

por Xudong Zheng