Інтернет, безсумнівно, є простором, де слід бути обачним. Нещодавно ми розглядали схему шахрайства з електронними листами, що намагалися обманом спонукати користувачів до купівлі фіктивного VPN-сервісу. Це шахрайство ставило під загрозу фінанси та особисті дані. На щастя, є надійні способи ідентифікувати подібні афери. Проте, не всі шахрайства легко розпізнати. Фішинг-атаки стають дедалі витонченішими, зокрема, через використання так званих Punycode. Цей метод реєстрації доменів, хоча і не був створений з метою обману, використовується для цього. Давайте детально розглянемо, що таке фішинг-атаки Punycode і як можна захиститися.
Суть фішинг-атак
Фішинг-атака – це ситуація, коли зловмисник створює фальшивий веб-сайт, який намагається імітувати справжній, якому ви довіряєте. Наприклад, може бути скопійовано сторінку входу в Google чи Facebook. Якщо користувач не зверне увагу на URL-адресу, він може подумати, що знаходиться на оригінальній сторінці. Ввівши свої дані, він ризикує стати жертвою крадіжки особистої інформації.
Інтернет-технології значно розвинулися, і браузери оснащені надійними механізмами захисту. Якщо ви переходите на сайт з сумнівною репутацією, браузер, як правило, попереджає про можливу небезпеку. Фішингові атаки також набули розголосу, тому більшість користувачів знають про необхідність пильності.
Що таке домени Punycode?
Реєстрація домену за допомогою Punycode дає змогу реєструвати доменні імена, що містять символи, відмінні від англійських. Це цікава концепція. Символ з іншої мови можна перетворити на ASCII-символи за допомогою Punycode. Наприклад, для користувачів з Китаю, які реєструють домен, може бути зручніше мати доменне ім’я китайською. Це спрощує запам’ятовування адреси сайту.
Як працює фішинг-атака Punycode
Punycode трансформує домени з символами інших мов у ASCII-символи. Проте, при цьому використовуються спеціальні підмножини ASCII-символів. Ці підмножини візуально не відрізняються від звичайних англійських символів.
Наочним прикладом є веб-сайт, створений Xudong Zheng для демонстрації фішинг-атаки Punycode. Виглядає так, ніби ви відвідуєте сайт Apple, оскільки в URL-адресі зазначено apple.com. Але справжня URL-адреса цього сайту: www.xn--80ak6aa92e.com.
Xudong Zheng виявив цю вразливість і докладно описав, як домени з іноземними символами можуть використовуватись для імітації адрес популярних веб-сайтів.
Хто під загрозою?
До браузерів, що піддаються цій загрозі, належать:
- Chrome версії 57 і старші
- Firefox
- Internet Explorer, особливо з встановленими мовними пакетами, наприклад російською
- Opera
Які браузери безпечні?
До безпечних браузерів належать:
- Microsoft Edge
- Safari
- Internet Explorer, якщо в системі встановлена лише англійська мова
Як убезпечити себе?
Як видно зі списку, під загрозою опинилися два популярні веб-браузери: Chrome і Firefox, а також Opera.
Користувачам Chrome не варто хвилюватися. Щоб захиститися, потрібно просто оновити браузер до версії 58. Версії 57 і старші мають цю вразливість.
Версія 58 має виправлення і доступна в стабільній версії.
Користувачі Firefox можуть змінити налаштування браузера. Перейдіть на сторінку about:config і знайдіть налаштування. Двічі клацніть на нього, щоб встановити значення True.
network.IDN_show_punycode
Для Opera наразі рішення немає. Якщо вам відоме розширення, що може усунути цю проблему в Opera, будь ласка, поділіться інформацією в коментарях, і ми обов’язково додамо його.
Використовуйте менеджери паролів
Xudong Zheng рекомендує використовувати менеджери паролів для підвищення безпеки. Менеджери паролів автоматично ідентифікують домен, на якому ви перебуваєте, і пропонують автозаповнення даних для входу. Ваш браузер може бути обманутий підробленим доменом, але менеджер паролів – ні. Якщо менеджер не пропонує заповнити ваші дані, це є сигналом, що ви потрапили на підроблений веб-сайт.