Michal Sobieraj szemléletes cikkében azt elemzi, hogy hogyan kezelik a különböző böngészők a speciális Unicode karaktereket tartalmazó URL-eket. Szabadfordítás következik:
Azokat az URL-eket, amelyek nem-ASCII karaktereket is tartalmaznak, mindig ASCII kompatibilis formában (valahogy így xn--t-zfa.com) kellene a felhasználók számára megjeleníteni, hogy a vizuális megtévesztések elkerülhetők legyenek.
Úgy tűnik azonban, hogy néhány Unicode mellékjel meg tudja kerülni ezt a szabályt bizonyos elterjedt böngésző esetében.
Simán regisztrálhatom a xn--papal-yg2b.com domaint (miért is ne tehetném?), ahová könnyen eljuthatsz ha erre a linkre kattintasz: paỵpal.com
Ok, mi is történt? Nyilvánvalóan nem a PayPal.com-ra jutottál. Ez azért történt így, mert a link egy plusz karaktert tartalmaz, ami egy pontot helyez az őt megelőző karakter (ez esetben az y) alá. A használt betűtípustól függően lesz ez a pont többé-kevésbé észrevehető. Biztosak lehetünk benne, hogy a pénztől motivált gazfickók megoldást fognak találni rá, hogy olyan betűtípust és mellékjelet használjanak, amely nem ilyen könnyen kiszúrható, ezzel megkönnyítve egy későbbi phishing akciót.
Íme a link HTML kódja:
<a href='http://paỵpal.com'>paỵpal.com</a>
Hogy mely böngészők sebezhetőek ilyen módon? Megnéztem a négy legnészerűbb böngésző legfrissebb változatát (IE (7.0.5730.13), Firefox (2.0.0.7), Opera (9.23, build 8808) és Safari (3.0.3, win32, build 522.15.5)), és a következőket találtam:
Firefox
A Firefox úgy tűnik ellenáll a támadásnak. Rejtélyes módon azonban néhány nem-ASCII karaktert nem hajlandó ASCII-ra fordítani mielőtt megjelenítené a cím- vagy státuszsorban (például ezt). Ennek ellenére a legújabb windowsos változaton végzett megfigyeléseim azt mutatják, hogy a Firefox meg sem próbálja feloldani ezeket a domaineket, helyette a Kiszolgáló nem található hibaüzenetet adja. Persze nem próbálgattam végig az összes lehetséges kombinációt, de néhány próba azt mutatja, hogy a böngésző meg sem próbál kapcsolódni ezekhez a domainekhez. A Firefox tehát jól szerepelt.
Internet Explorer 7Azokat az URL-eket, amelyek nem-ASCII karaktereket is tartalmaznak, mindig ASCII kompatibilis formában (valahogy így xn--t-zfa.com) kellene a felhasználók számára megjeleníteni, hogy a vizuális megtévesztések elkerülhetők legyenek.
Úgy tűnik azonban, hogy néhány Unicode mellékjel meg tudja kerülni ezt a szabályt bizonyos elterjedt böngésző esetében.
Simán regisztrálhatom a xn--papal-yg2b.com domaint (miért is ne tehetném?), ahová könnyen eljuthatsz ha erre a linkre kattintasz: paỵpal.com
Ok, mi is történt? Nyilvánvalóan nem a PayPal.com-ra jutottál. Ez azért történt így, mert a link egy plusz karaktert tartalmaz, ami egy pontot helyez az őt megelőző karakter (ez esetben az y) alá. A használt betűtípustól függően lesz ez a pont többé-kevésbé észrevehető. Biztosak lehetünk benne, hogy a pénztől motivált gazfickók megoldást fognak találni rá, hogy olyan betűtípust és mellékjelet használjanak, amely nem ilyen könnyen kiszúrható, ezzel megkönnyítve egy későbbi phishing akciót.
Íme a link HTML kódja:
<a href='http://paỵpal.com'>paỵpal.com</a>
Hogy mely böngészők sebezhetőek ilyen módon? Megnéztem a négy legnészerűbb böngésző legfrissebb változatát (IE (7.0.5730.13), Firefox (2.0.0.7), Opera (9.23, build 8808) és Safari (3.0.3, win32, build 522.15.5)), és a következőket találtam:
Firefox
A Firefox úgy tűnik ellenáll a támadásnak. Rejtélyes módon azonban néhány nem-ASCII karaktert nem hajlandó ASCII-ra fordítani mielőtt megjelenítené a cím- vagy státuszsorban (például ezt). Ennek ellenére a legújabb windowsos változaton végzett megfigyeléseim azt mutatják, hogy a Firefox meg sem próbálja feloldani ezeket a domaineket, helyette a Kiszolgáló nem található hibaüzenetet adja. Persze nem próbálgattam végig az összes lehetséges kombinációt, de néhány próba azt mutatja, hogy a böngésző meg sem próbál kapcsolódni ezekhez a domainekhez. A Firefox tehát jól szerepelt.
A másik dolog az URL mellett megjelenő nemzetköziesített domainnév ikon, ami figyelmeztet, hogy a cím nem-ASCII karaktereket is tartalmaz, jó lesz odafigyelni!
Safari
Itt a címsor és az ablak neve is megtévesztő
A státuszsorban megjelenő helyes cím jó lépésnek tűnik a phishing ellen, de sajnos a státuszsor alapértelmezetten ki van kapcsolva.
Opera
Legyünk őszinték, az Opera nyújtotta ebben a tesztben a legrosszabb teljesítményt. A cím és a státuszsor is hamisítható.
Sőt, még a tooltip is:
Az ablak nevével ugyanaz a helyzet, mint az IE7 esetében, de ezt alapesetben valószínűleg nem vesszük észre.
De ez semmi, a legújabb Opera még mindig becsapható ezzel a trükkel. Ijesztő.
Ha el akarjuk kerülni a csapdákat, legjobb ha egyszerűen bepötyögjük a címeket. Ha mindenképpen kattintanunk kell, akkor ellenőrizzük az SSL bizonyítványokat, amennyiben ilyenek nincsenek, ne adjunk meg érzékeny adatot! Általánosságban pedig jó ha gondolkodunk mielőtt klikkelünk.
