Punycode: quando o que você lê não é onde quer ir

Segundo Ronaldo Hayashi, Security Officer e Compliance da Honda Serviços Financeiros, ataques de phishing utilizando Punycode podem, até mesmo, confundir profissionais experientes, já que tecnologia existe para transformar caracteres não usuais por outros mais simples

Compartilhar:

Continuando o artigo anterior que mencionei, sobre sites iguais na grafia e diferente nos endereços, recentemente foi publicada na imprensa uma pesquisa sobre um tipo de ataque de phishing, que pode ser efetivo até mesmo para nós da comunidade de segurança. A descoberta consiste basicamente na utilização do Punycode, através do ataque denominado Homograph Attack, conforme exemplo do link https://www.аррӏе.com/:

 

Firefox

 

Chrome Atualizado

 

 

Atualmente o ataque foi remediado na última versão do Chrome e no Firefox ainda não há fixes publicados. Felizmente os navegadores Microsoft e o Safari não são afetados.

 

Vamos às explicações

 

“Punycode trata-se de um protocolo de programação em que uma cadeia de caracteres Unicode é traduzida para a codificação de caracteres mais limitada permitida para nomes de domínio. Foi publicado na Internet através do RFC 3492.

 

A codificação é usada como parte do IDNA (Internationalizing Domain Names in Applications), um sistema que permite o uso de nomes de domínio internacionais em todas as línguas suportadas pelo Unicode, de forma que a tradução é deixada para responsabilidade da aplicação do utilizador ”.

 

Em resumo a tecnologia existe para transformar caracteres não usuais por outros mais simples, ou seja, utilizando o mesmo exemplo do pesquisador “xn--s7y.co” é equivalente a “短.co”. Mas o leitor pode questionar: Aonde devo me preocupar?

 

Efetuei alguns momentos de estudo para não usar o exemplo do pesquisador e gerar um próprio, gerei um punycode com a palavra “security” e testar.

 

Exemplo 1: Endereço Verdadeiro

http://www.security.com é um domínio registrado pela Computer Associates
Exemplo 2: Endereço Falso via Punycode no Firefox

http://www.sесurіtу.com é www.xn--surt-v4d6er4m.com

 

Percebam que http://www.security.com e http://www.sесurіtу.com parecem ser a mesma coisa, não? Podem clicar que não é vírus, apenas o segundo não vai abrir.

 

Aonde está a diferença?

 

Há neste endereço (https://mothereff.in/punycode) um conversor que traduz os exemplos acima, só copiar no primeiro campo e ver a surpresa no segundo.

 

 

Na prática o Firefox não irá alterar na barra de endereços o endereço “traduzido”, ou seja, se houvesse endereço registrado não haveria o erro…

 

 

Como se proteger?

 

  • Não utilizar o Firefox até o próximo update;

 

  • Atualizar o Chrome a última versão 58.0.3029.81;

 

  • Verificar na barra de status se o link informado é o mesmo no link;

 

  • Em um site “https” vale a pena consultar o certificado utilizado;

 

 

 

* Ronaldo Hayashi é Security Officer e Compliance da Honda Serviços Financeiros

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Unicred do Brasil sustenta Segurança e escala com SASE e inteligência de rede

Em painel no Security Leaders Porto Alegre, instituição e Agility detalham como arquiteturas modernas de conectividade simplificam o acesso de...
Security Report | Destaques

IA, autonomia e Cyber: Líderes discutem equilíbrio entre inovação e fator humano

Até que ponto a Inteligência Artificial agêntica tem condições de agir de forma autônoma, e em que momento o usuário...
Security Report | Destaques

79% dos ataques de ransomware usaram identidades como vetor de acesso inicial

Descoberta foi documentada no State of Ransomware 2026 da Sophos, anunciada hoje (15) pela empresa. De acordo com os executivos...
Security Report | Destaques

Jornada resiliente do Grupo Fácil transforma gestão de brechas e threat intelligence

A companhia de gestão empresarial em saúde contou com a parceria da Clavis para ampliar suas capacidades com SOC e...