Fišing napad koji je nemoguće prepoznati u Chromeu, Firefoxu i Operi

Vesti, 19.04.2017, 01:00 AM

Fišing napad koji je nemoguće prepoznati u Chromeu, Firefoxu i Operi

Kineski istraživač Ksudong Zeng upozorio je na fišing napade koje je skoro nemoguće otkriti a koji mogu prevariti i najopreznije korisnike interneta.

Hakeri mogu iskoristiti poznatu ranjivost u Chromeu, Firefoxu i Operi i prikazivati svoje lažne domene kao web sajtove legitimnih servisa, kao što su Apple, Google ili Amazon, i to zbog toga da bi ukrali lozinke za prijavljivanje na online naloge, ali i druge osetljive informacije od korisnika.

Najbolji način da se korisnici zaštite od fišing napada je da provere adresnu traku kada se učita stranica, kao i da provere da li je u pitanju validna HTTPS veza.

"Nemoguće je prepoznati lažni sajt bez pažljivog pregleda URL-a sajta ili SSL sertifikata", kaže Zeng koji je otkrio napad koga je demonstrirao ovde.

Vaš browser prikazuje "epic.com" u adresnoj traci i ispred toga https i ikonicu katanca, ali sadržaj na ovoj stranici dolazi sa drugog servera. Ako je to ono što se dešava, vaš browser je podložan ovom "homografskom napadu".

Za homografski napad se zna još od 2001., ali proizvođači browsera se još uvek bore da reše taj problem. Reč je o napadu u kome adresa web sajta izgleda kao prava, ali ipak nije jer su karakter ili više njih zamenjeni Unicode karakterima.

Mnogi Unicode karakteri koji predstavljaju slova kao što su slova grčkog alfabeta ili ćirilica u internacionalnim nazivima domena, oku izgledaju isto kao i slova latinice ali ih kompjuteri različito tretiraju.

Primera radi, ćirilično "a" (U+0430) i latinično "a" (U+0041) browseri tretiraju kao različita slova, ali se ona u adresnoj traci prikazuju isto.

Mnogi browseri koriste "Punycode" kodiranje za predstavljanje Unicode karaktera u URL-ovima. Punycode koriste browseri za pretvaranje Unicode karaktera u ASCII oblik, koji podržava IDN sistem (International Domain Names).

Na primer, kineski domen .co u Punycodeu je xn--s7y.co, dok je recimo вести.срб preveden na Punycode jednak xn--b1agj9af.xn--90a3ac.

Zeng kaže da je propust u tome što browseri rendruju samo Punycode URL-ove na jednom jeziku kao Unicode (kao samo kineski ili samo japanski), ali to ne rade ako naziv domena sadrži karaktere iz više jezika.

To je omogućilo Zengu da registruje domen xn--80ak6aa92e.com koji se prikazuje kao apple.com u svim ranjivim browserima - Chromeu, Firefoxu i Operi. Internet Explorer, Microsoft Edge, Apple Safari, Brave i Vivaldi nisu podložni ovim napadima.

Prefiks xn-- koji se naziva "ASCII compatible encoding" prefiks, ukazuje web browseru da domen koristi Punycode za Unicode karaktere. Zato što je Zeng koristio ćirilično "a", a ne ASCII "a", uspeo je da izbegne zaštitu browsera.

Zeng je o svom otkriću obavestio proizvođače ranjivih browsera u januaru ove godine.

Mozilla još uvek traži način da reši ovaj problem, Google je ispravio propust u svom eksperimentalnom Chrome Canary 59, a očekuje se da će problem biti trajno rešen sa stabilnom verzijom Chromea koja nosi oznaku 58, koja treba da bude objavljena krajem meseca.

Do tada, milioni korisnika interneta su u opasnosti od ove vrste napada, pa im se preporučuje da isključe Punycode podršku u Firefoxu da bi se zaštitili od ovakvog napada (ukucajte about:config u adresnoj traci, ukucajte Punycode u pretragu, kliknite dva puta na network.IDN_show_punycode, ili kliknite jednom na desni taster miša i odaberite Toggle i odaberite True). Korisnici Chromea nemaju tu mogućnost pa će morati da sačekaju verziju 58 browsera.

Jedan od načina da se zaštitite od ovakvih napada su menadžeri lozinki, koji automatski unose vaše lozinke u prave domene.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Honda privremeno zatvorila fabriku zbog ransomwarea WannaCry

Honda privremeno zatvorila fabriku zbog ransomwarea WannaCry

Japanski proizvođač automobila Honda bio je prinuđen da na jedan dan obustavi proizvodnju u jednom od svojih postrojenja zbog infekcije mreže rans... Dalje

Južnokorejski hosting provajder zbog ransomwarea isplatio sajber kriminalcima milion dolara

Južnokorejski hosting provajder zbog ransomwarea isplatio sajber kriminalcima milion dolara

Južnokorejski web hosting provajder Nayana platio je sajber kriminalcima više od milion dolara da bi dobio pristup za ukupno 153 svojih Linux server... Dalje

Grupa CyberTeam preuzela odgovornost za probleme sa Skypeom

Grupa CyberTeam preuzela odgovornost za probleme sa Skypeom

Skype 19. juna nije radio u većem delu Evrope, u nekim delovima SAD, u Japanu, Singapuru, Indiji, Pakistanu i Južnoj Africi, a Microsoft je skoro 24... Dalje

Podaci skoro 200 miliona američkih glasača bili nezaštićeni i dostupni za preuzimanje

Podaci skoro 200 miliona američkih glasača bili nezaštićeni i dostupni za preuzimanje

Firma Deep Root Analytics koja se bavi analizom podataka a koju je angažovala Republikanska stranka ostavila je nezaštićenim baze podataka koje sad... Dalje

PayPal fišing stranica traži od korisnika selfi sa ličnom kartom

PayPal fišing stranica traži od korisnika selfi sa ličnom kartom

Korisnici PayPala još jednom su se našli na meti fišera koji su pokušali da ih dovedu na hakovani web sajt na kome se nalazi kopija PayPalove stra... Dalje