Punycode: quando o que você lê não é onde quer ir

Segundo Ronaldo Hayashi, Security Officer e Compliance da Honda Serviços Financeiros, ataques de phishing utilizando Punycode podem, até mesmo, confundir profissionais experientes, já que tecnologia existe para transformar caracteres não usuais por outros mais simples

Compartilhar:

Continuando o artigo anterior que mencionei, sobre sites iguais na grafia e diferente nos endereços, recentemente foi publicada na imprensa uma pesquisa sobre um tipo de ataque de phishing, que pode ser efetivo até mesmo para nós da comunidade de segurança. A descoberta consiste basicamente na utilização do Punycode, através do ataque denominado Homograph Attack, conforme exemplo do link https://www.аррӏе.com/:

 

Firefox

 

Chrome Atualizado

 

 

Atualmente o ataque foi remediado na última versão do Chrome e no Firefox ainda não há fixes publicados. Felizmente os navegadores Microsoft e o Safari não são afetados.

 

Vamos às explicações

 

“Punycode trata-se de um protocolo de programação em que uma cadeia de caracteres Unicode é traduzida para a codificação de caracteres mais limitada permitida para nomes de domínio. Foi publicado na Internet através do RFC 3492.

 

A codificação é usada como parte do IDNA (Internationalizing Domain Names in Applications), um sistema que permite o uso de nomes de domínio internacionais em todas as línguas suportadas pelo Unicode, de forma que a tradução é deixada para responsabilidade da aplicação do utilizador ”.

 

Em resumo a tecnologia existe para transformar caracteres não usuais por outros mais simples, ou seja, utilizando o mesmo exemplo do pesquisador “xn--s7y.co” é equivalente a “短.co”. Mas o leitor pode questionar: Aonde devo me preocupar?

 

Efetuei alguns momentos de estudo para não usar o exemplo do pesquisador e gerar um próprio, gerei um punycode com a palavra “security” e testar.

 

Exemplo 1: Endereço Verdadeiro

http://www.security.com é um domínio registrado pela Computer Associates
Exemplo 2: Endereço Falso via Punycode no Firefox

http://www.sесurіtу.com é www.xn--surt-v4d6er4m.com

 

Percebam que http://www.security.com e http://www.sесurіtу.com parecem ser a mesma coisa, não? Podem clicar que não é vírus, apenas o segundo não vai abrir.

 

Aonde está a diferença?

 

Há neste endereço (https://mothereff.in/punycode) um conversor que traduz os exemplos acima, só copiar no primeiro campo e ver a surpresa no segundo.

 

 

Na prática o Firefox não irá alterar na barra de endereços o endereço “traduzido”, ou seja, se houvesse endereço registrado não haveria o erro…

 

 

Como se proteger?

 

  • Não utilizar o Firefox até o próximo update;

 

  • Atualizar o Chrome a última versão 58.0.3029.81;

 

  • Verificar na barra de status se o link informado é o mesmo no link;

 

  • Em um site “https” vale a pena consultar o certificado utilizado;

 

 

 

* Ronaldo Hayashi é Security Officer e Compliance da Honda Serviços Financeiros

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a Polícia Federal, a Toyota Brasil, o Sistema de Administração Financeira...
Security Report | Destaques

Novos highlights da RSA: Da Soberania à solidariedade Digital

Fernando Galdino, diretor de Portfólio & Estratégia da SEK, fala à Security Report sobre os pontos mais importantes debatidos na...
Security Report | Destaques

CISOs buscam ocupar novos espaços na empresa

Já é demanda antiga do setor de Cyber alcançar um grau de relevância maior nas organizações, mas agora, com o...
Security Report | Destaques

Polícia abre investigação contra esquema de golpes cibernéticos

A operação se deu essa semana na cidade de Imperatriz, no Maranhão, segundo informou nota divulgada pela corporação. As primeiras...