Continuando o artigo anterior que mencionei, sobre sites iguais na grafia e diferente nos endereços, recentemente foi publicada na imprensa uma pesquisa sobre um tipo de ataque de phishing, que pode ser efetivo até mesmo para nós da comunidade de segurança. A descoberta consiste basicamente na utilização do Punycode, através do ataque denominado Homograph Attack, conforme exemplo do link https://www.аррӏе.com/:
Atualmente o ataque foi remediado na última versão do Chrome e no Firefox ainda não há fixes publicados. Felizmente os navegadores Microsoft e o Safari não são afetados.
Vamos às explicações
“Punycode trata-se de um protocolo de programação em que uma cadeia de caracteres Unicode é traduzida para a codificação de caracteres mais limitada permitida para nomes de domínio. Foi publicado na Internet através do RFC 3492.
A codificação é usada como parte do IDNA (Internationalizing Domain Names in Applications), um sistema que permite o uso de nomes de domínio internacionais em todas as línguas suportadas pelo Unicode, de forma que a tradução é deixada para responsabilidade da aplicação do utilizador ”.
Em resumo a tecnologia existe para transformar caracteres não usuais por outros mais simples, ou seja, utilizando o mesmo exemplo do pesquisador “xn--s7y.co” é equivalente a “短.co”. Mas o leitor pode questionar: Aonde devo me preocupar?
Efetuei alguns momentos de estudo para não usar o exemplo do pesquisador e gerar um próprio, gerei um punycode com a palavra “security” e testar.
Exemplo 1: Endereço Verdadeiro
http://www.security.com é um domínio registrado pela Computer Associates
Exemplo 2: Endereço Falso via Punycode no Firefox
http://www.sесurіtу.com é www.xn--surt-v4d6er4m.com
Percebam que http://www.security.com e http://www.sесurіtу.com parecem ser a mesma coisa, não? Podem clicar que não é vírus, apenas o segundo não vai abrir.
Aonde está a diferença?
Há neste endereço (https://mothereff.in/punycode) um conversor que traduz os exemplos acima, só copiar no primeiro campo e ver a surpresa no segundo.
Na prática o Firefox não irá alterar na barra de endereços o endereço “traduzido”, ou seja, se houvesse endereço registrado não haveria o erro…
Como se proteger?
- Não utilizar o Firefox até o próximo update;
- Atualizar o Chrome a última versão 58.0.3029.81;
- Verificar na barra de status se o link informado é o mesmo no link;
- Em um site “https” vale a pena consultar o certificado utilizado;
- Na dúvida cole o link no https://mothereff.in/punycode
* Ronaldo Hayashi é Security Officer e Compliance da Honda Serviços Financeiros