Dla przypomnienia: atak phishingowy następuje kiedy atakujący wysyła ofierze meila z linkiem do zainfekowanej strony www. Ofiara klika na link ponieważ wygląda na zaufany. Po kliknięciu zostajesz przekierowany na zainfekowaną lub wyłudzającą dane stronę WWW. Atakujący uzyskuje w ten sposób możliwość wykonania złośliwego kodu na urządzeniu ofiary lub wyłudzenia wrażliwych danych poprzez spreparowaną stronę WWW, która do złudzenia przypomina stronę zaufanego dostawcy.
W ostatnim czasie zauważyliśmy, że w wiadomościach zawierających złośliwe linki pojawił się szczególnie ciekawy przypadek. Po kliknięciu w link, ofiara przekierowywana jest na podstawioną stronę www. Problem polega jednak na tym, że w pasku przeglądarki, adres fałszywej strony wygląda identycznie jak adres strony zaufanego dostawcy. Przykład:
Oryginalna strona www:
Strona wyłudzająca dane:
W rzeczywistości, druga ze stron zarejestrowana jest pod adresem: https://xn--e1awd7f.com/
Jak to możliwe?
Prefiks xn-- jest znany jako prefiks kodowania zgodnego z ASCII. Pozwala on zrozumieć przeglądarce, że dana domena używa kodowania “punycode” do reprezentowania znaków Unicode. Oznacza to, że jeśli masz nazwę domeny np. z chińskimi lub innymi międzynarodowymi znakami, to możesz zarejestrować nazwę domeny z normalnymi znakami A-Z, która umożliwi przeglądarce reprezentowanie tej domeny z użyciem znaków międzynarodowych w pasku adresu przeglądarki.
Jak można zapobiec takiej sytuacji? W przypadku Firefoxa, należy wpisać w pasku adresu “about:config” (bez cudzysłowu) , następnie wyszukać ustawienie “punycode” oraz ustawić jego wartość na “true”. Od tej pory w pasku adresu powinniśmy zawsze widzieć faktyczny adres odwiedzanej strony www.