Atak homograficzny na domenę – czym jest i jak się przed nim bronić?

Hakowanie jest bardzo powszechne w dzisiejszym świecie online, a osoby znające różne techniki i sztuczki potrafią ominąć różnorodne zabezpieczenia stron i blokady. Atak homograficzny jest jednym z rodzajów hakowania i fałszowania w internecie. Dokładnie polega on na tworzeniu adresów URL, które zawierają znaki z języków innych niż łaciński. Jest to skuteczna metoda oszustwa, gdyż znaki w różnych alfabetach są do siebie podobne. W efekcie adresy stron mogą wyglądać identycznie, a w rzeczywistości są do dwie różne witryny.

Na czym to polega?

atak

Hakerzy mogą wykorzystać lukę w przeglądarce – jest to możliwe zarówno w przeglądarce Chrome jak i Firefox czy Opera. Stąd też poprzez wyświetlanie fałszywych domen i imitowanie ich na prawdziwe pozwala im kraść dane logowania, a także wszelkie poufne informacje. Ogólnie w przypadku, gdy na stronie podmieniona zostaje pojedyncza litera dana przeglądarka wyświetla witrynę jako punycode. Dzięki temu można zauważyć różnicę pomiędzy prawdziwą, a fałszywą stroną. Jeżeli jednak wszystkie litery przypominają litery alfabetu łacińskiego, ale w rzeczywistości zostały one podmienione pojawia się duży problem. Nie dochodzi tu bowiem do kodowania punycode. Litery mają inne kody, a użytkownik nie ma szansy zauważyć, że coś tu nie gra. Co ciekawe nawet certyfikat SSL nie gwarantuje, że dana strona jest bezpieczna i prawdziwa. Może go bowiem zakupić haker, który założy fałszywą witrynę.

Chiński analityk bezpieczeństwa Xudong Zheng zauważył problem jako pierwszy, a następnie stworzył fałszywą stronę apple.com. Dzięki temu można dowiedzieć się czy nasza przeglądarka jest narażona na atak homograficzny. Po kliknięciu w link do tej fałszywej strony demo można przejść na witrynę. Jeżeli wyświetlona zostaje strona apple.com zabezpieczona protokołem SSL jednak jej zawartość pochodzi z innego serwera niż na prawdziwej stronie to nasza przeglądarka może być narażona na atak homograficzny.

Czy da się zabezpieczyć stronę przed atakiem homograficznym?

Ze względu na co raz częstsze występowanie ataków homograficznych Google wprowadza pewne zmiany, które mają pomóc chronić się przed fałszywymi stronami i atakami. Wejdą one w życie dopiero w wersji Chrome Stable 58. Użytkownicy różnych przeglądarek mogą stosować pewne sztuczki, które pozwolą bardziej ochronić się przed takim zagrożeniem.

Mowa tu o:

  • wyłączeniu usługi punycode w przeglądarkach internetowych
  • nie wchodzeniu na strony, których linki pojawiają się w mailach przychodzących
  • nie wchodzeniu na strony internetowe, które wyglądają podejrzanie

Użytkownicy przeglądarki Firefox mogą samodzielnie dokonań dezaktywacji konwersji kodowania punycode. Muszą po prostu wpisać w pasku adresu about:config, a później nacisnąć enter. Kolejnym krokiem jest ustawienie dla parametru network.IDN_show_punycode wartości True. Prowadzi to do tego, że wszystkie domeny, które posiadają inne litery i znaki niż te pochodzące z alfabetu łacińskiego są wyświetlane w postaci punycode. Przeglądarki Chrome czy Opera nie oferują takiej możliwości jednak w przypadku przeglądarki Googlowskiej możliwe jest skorzystanie z zewnętrznych rozszerzeń.

Comments

comments