Észlelhetetlen adathalász támadás veszélye Chrome, Firefox és Opera böngészőknél
Egy korábban már ismert támadás egy új variánsának lehetséges használatát jelentette be a napokban Xudong Zheng biztonsági kutató. A "támadás" a felhasználó megtévesztésére épül, viszont szinte lehetetlen észrevenni a csalást, ha annyira pontosak a támadók, mint ahogy korábban a Google bejelentkező oldalát meghamisítók voltak.
Keresd a hibát!
https://www.аррӏе.com
https://www.apple.com
Meg tudja mondani valaki ránézésre, hogy mi a különbség a két link között? Elsőre én sem, és ez nyilván nem véletlen: pont így működik a támadás.
A lényege az, hogy egy latin betűs karaktert egy ahhoz nagyon hasonló, mondjuk cirill karakterrel helyettesítenek. Ezt a címben említett Chrome, Firefox és Opera böngészők - ahelyett, hogy az úgynevezett Punycode formában írnák ki a címsorba, így: www.xn--80ak6aa92e.com - rögtön értelmezik is és a cirill karakter jelenik meg, így: www.аррӏе.com. A támadókat nem akadályozza meg semmi sem abban, hogy érvényes tanúsítványt hozzanak létre az ilyen megtévesztő domainekhez.
Ha egy tökéletesen lemásolt oldalt is feltesznek erre az új címre, akkor gyakorlatilag szinte megakadályozhatatlan az, hogy egy átlagos, sőt, annál gyakorlottabb felhasználó bedőljön a trükknek, és bejelentkezzen a felületen, vagy rosszabb esetben megadja a bankkártya adatait. Ebben az esetben nem számíthatunk a címsorban díszelgő "Biztonságos" jelzésre, vagy zöld lakatra sem - hiszen a tanúsítvány érvényes a www.xn--80ak6aa92e.com domainre -, csak a szerencsénkre, vagy a paranoiánkra.
Megoldások
Firefox
Egy kis turkálással javíthatunk az esélyeinken:
- A címsorba gépeljük be az about:config szöveget, és nyomjunk ENTER-t, kattintsunk a kék gombra
- A keresősávba gépeljük be a network.IDN_show_punycode szöveget, a megjelenő soron dupla kattintással állítsuk át az értéket true-ra
Ezzel engedélyeztük a nem latin karakterek átírását a Punycode formára.
Chrome
Jelenleg nincs ismert megoldás, az április 25. környékén érkező 58-as verzióban javítják a hibát. Ha biztosra szeretnénk menni, az adott oldal tanúsítványát ellenőrizve lebuktathatók a megtévesztő oldalak.
Az ehhez hasonló támadások és hibák kivédésére megfelelő megoldás lehet a jelszókezelők használata: ezek a programok meg tudják különböztetni a két domaint egymástól (hiszen a támadás a vizuális megtévesztére épül), így a hamis oldalon nem töltik be a bejelentkezési információkat, ezzel figyelmeztetve a felhasználót.
Edge, Internet Explorer, Safari és Vivaldi böngészők alatt a felhasználók továbbra is biztonságban vannak az ilyen jellegű támadásokkal szemben.