Gli attacchi di phishing che ho segnalato finora sono sempre stati caratterizzati dal fatto che, mentre il sito appariva identico o quasi all’originale, nella barra degli indirizzi del browser appariva un indirizzo completamente differente e, soprattutto, senza https che di solito accompagna il sito reale.
Cominciano purtroppo a essere in circolazione siti che non solo si camuffano perfettamente come il sito reale ma che, e qui sta la pericolosità, mostrano nella barra degli indirizzi del browser l’indirizzo reale del sito contraffatto, elemento che permetteva di scoprire subito che ci si trovava di fronte a un sito contraffatto.
Prova a collegarti a questo sito (tranquillo che è solo un esempio innocuo per dimostrare la tecnica)
https://www.xn--80ak6aa92e.com
Ti aspetterai di vedere nella barra degli indirizzi quello che vedi sopra e invece vedrai
ed è proprio questa la cosa preoccupante perché cade l’unico elemento che puoi avere in mano per capire al volo che ti trovi davanti a un sito contraffatto.
Il problema è che tanti verranno tratti in inganno da questa tecnica, perché finora i più avveduti si aspettavano la discrepanza tra sito visualizzato e indirizzo dello stesso, come ho sempre indicato in tutti i post riguardanti il phishing.
Il bug è stato corretto dalla versione 58 di Chrome Mac e Windows quindi se stai leggendo ora questo articolo con la versione 85 di Chrome, non dovresti avere alcun tipo di problema, e non è invece presente in Safari per Mac e Firefox, per entrambe le versioni Mac e Windows, ha detto che quello è un problema di cui si devono fare carico i registrant dei domini, cioè quelle aziende che si occupano, e sono accreditate, per la registrazione dei domini; posizione alquanto opinabile ma, fortunatamente, esiste un sistema per risolvere il problema.
Se usi Firefox, scrivi il testo seguente nella barra degli indirizzi
about:config
dai Invio e nel campo che appare in alto nella pagina, scrivi
network.IDN_show_punycode
vedrai che, nella colonna più a destra chiamata Valore, sarà settato come false. Fai doppio click su false e questo diventerà true e, a quel punto, se tenterai di andare all’url indicato qui sopra, vedrai il vero URL e non quello codificato.
Attenzione a questo attacco phishing pericoloso! Share on XMa come funziona questo attacco phishing?
In realtà la spiegazione è parecchio complessa ma, se vuoi comunque saperne di più sappi che questo si chiama Attacco Omografico (clicca sul link per vedere cosa è su wikipedia, purtroppo solo in inglese) che si basa sullo standard Punycode (anche qui puoi cliccare sul link per vedere, in italiano, di cosa si tratta) che è un sistema utilizzato per potere registrare un nome a dominio che usa caratteri ASCII non standard (un carattere ASCII non standard è, per esempio, un nostro qualsiasi carattere accentato come à o è).
Nel caso in questione con il dominio apple.com, viene registrato un dominio che, al posto del carattere standard ASCII “a” usa la “a” cirillica che però dal browser viene ritrasformata nella “a” a cui tutti siamo abituati.
Un piccolo trucco per capire a che sito ci si è collegati
Al di là di applicare i consigli che seguono, esiste un sistema abbastanza semplice per capire se il sito è legittimo.
Collegandosi all’URL di cui sopra, nella barra degli indirizzi apparirà https://www.apple.com ma, usando Chrome e cliccando sul lucchetto verde prima dell’indirizzo con la scritta Sicuro, apparirà un piccolo box di dialogo con alcune informazioni.
In questo box la prima scritta indica il numero di cookies che il sito ha impostato. Se ci clicchi sopra sul sito contraffatto ti apparirà chiaramente l’URL originale, come vedi nell’immagine
mentre se fai la stessa cosa sul sito Apple vero, apparirà l’URL vero, cioè www.apple.com
Come proteggersi da un attacco omografico?
- Se usi Chrome, aggiornalo almeno alla versione 58.
- Se usi Firefox segui il consiglio dato poco sopra.
- Usa Safari (anche se, parere mio, è il browser peggiore che conosco)
- Non cliccare MAI su un link contenuto in un’email che non ti arriva da un contatto conosciuto o di cui sei assolutamente sicuro. Sicuramente MAI su link di banche, poste, assicurazioni o comunque siti dove, in un modo o nell’altro, devi inserire tuoi dati sensibili come numeri di carta di credito, dati personali, password e così via.
- Nel dubbio piuttosto scrivi a mano l’URL nella barra degli indirizzi o usa un bookmark o segnalibro che ti sei già salvato in precedenza.