Chrome, Firefox та Opera вразливі перед фішинговою технікою та Unicode в іменах доменів

Xakep #240. Ghidra

Китайський дослідник Сюдун Чжен (Xudong Zheng) попереджає, що браузери Chrome, Firefox і Opera вразливі перед практично невиявленими фішинговими атаками, за допомогою яких зловмисники можуть реєструвати підроблені домени, практично не відрізняються від справжніх ресурсів Apple, Google, eBay, Amazon та багатьох сервісів. Техніка, описана фахівцем, сягає корінням до старої методики омографічних атак, про яку відомо як мінімум з 2001 року.

firefox

Але дослідник виявив, що захист сучасних браузерів можна оминути. Чжен пропонує всім бажаючим відвідати proof-of-concept сторінку та переконатися на власні очі. Домен, який виглядає у браузері як легітимний ресурс apple.com, насправді є доменом xn-80ak6aa92e.com. Справа в тому, що слово аррі написане кириличними символами. У таких випадках антифішингові фільтри браузерів не спрацьовують. Виявити заміну можна лише вивчивши докладну інформацію про сертифікат сторінки, де буде відображено реальне ім'я домену.

opera

Перед такими атаками вразливі Chrome, Firefox, а також Opera (включаючи версію Opera Neon). У той же час Edge, Internet Explorer, Safari, Vivaldi та Brave відображають Punycode URL, не вводячи користувачів в оману.