Lừa đảo người dùng thông qua Unicode Domain Phishing

0
1205

Ngay cả những người dùng internet thận trọng nhất cũng dễ bị tấn công bởi phương thức tên miền đa nghĩa IDN

Một làn sóng mới của các cuộc tấn công lừa đảo tên miền Unicode đang đánh lừa thậm chí cả các người dùng internet dày dạn nhất nhờ vào việc sử dụng thông minh các homograph.

Homograph là một tập hợp của hai hoặc nhiều từ được đánh vần giống nhau nhưng có ý nghĩa khác nhau và nguồn gốc. Trong trường hợp này, homograph là một descriptor không hoàn hảo, nhưng vẫn có những tác dụng nào đó.

Để tấn công Phishing Unicode Domain , trước tiên bạn cần một tên miền được viết bằng Unicode. Thông thường, các URL bạn nhập bằng ASCII, viết tắt của Mã tiêu chuẩn của Mỹ cho trao đổi thông tin. Tuy nhiên, vào năm 2003, một đặc điểm kỹ thuật đã được thêm vào để cho phép các ký tự Unicode được sử dụng trong các tên miền. Unicode là một tiêu chuẩn công nghiệp để mã hóa văn bản được thể hiện bằng hầu hết các ngôn ngữ viết trên thế giới. Ý tưởng đằng sau điều này là cung cấp cho người dùng internet quốc tế khả năng theo dõi các liên kết bằng ngôn ngữ riêng của họ.

Nhưng, như với mọi thứ trên internet, sẽ có người tìm ra cách để khai thác điều này.

Nhà nghiên cứu Xudong Zheng đã xuất bản một bằng chứng về cách tấn công này năm ngoái làm nổi bật vấn đề. Trong POC, Zheng sử dụng Unicode để tạo ra một trang web tương tự như của Apple. Để làm điều này, ông đã tạo một tên miền với Punycode , cho phép quốc tế hóa tên miền. Sau đó anh ta trộn lẫn Unicode với ASCII để tạo một trang web thực sự có tên “Apple.com”

Dấu “A” trong ASCII (U + 0061) khác với chữ “A” Cyrillic (U + 0430), nhưng trình duyệt sẽ hiển thị chúng giống nhau trong thanh địa chỉ. Bây giờ, thông thường, các trình duyệt sẽ hiển thị biểu mẫu Punycode để hạn chế bất kỳ sự nhầm lẫn nào với Apple.com thực. Tuy nhiên, Zheng thấy rằng cơ chế bảo vệ trong Chrome và Firefox không hoạt động nếu mọi nhân vật được thay thế bằng một từ tương tự từ cùng một ngôn ngữ.

Vì vậy, khi Zheng đăng ký miền tại: xn–80ak6aa92e.com , nó bỏ qua bộ lọc trình duyệt và hiển thị “Apple.com” trong thanh địa chỉ. Để làm cho POC của mình thậm chí còn hấp dẫn hơn, Zheng đã gửi chứng chỉ DV SSL trên trang web của mình. Bây giờ nó trông giống như Apple, và nó có ổ khóa để nó phải được an toàn, phải không?

Zheng đã không cố gắng sao chép trang chủ của Apple vì anh ta chỉ cho thấy lỗ hổng trong việc đăng ký tên miền. Nhưng thành thật mà nói, đó là một cuộc tấn công lừa đảo thực sự, nó có thể đã đánh lừa khá nhiều bất cứ ai.

Bất kể, đây thực sự chỉ là đỉnh của tảng băng trôi. Có rất nhiều cách tấn công có thể tận dụng Unicode để tạo ra các cuộc tấn công Homograph này.

Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công lừa đảo tên miền Unicode

Nếu bạn là người dùng Google Chrome. Google đã giải quyết vấn đề này trong phiên bản 58.

Người dùng Firefox có thể ngăn điều này xảy ra bằng cách gõ ” about: config ” vào thanh địa chỉ của bạn. Sau đó, trong hộp tìm kiếm, nhập “ Punycode ”.

Nếu giá trị của mục nhập có tiêu đề: network.IDN_show_puny_code là false, hãy bấm đúp vào nó để thay đổi nó thành true.

Điều này sẽ làm cho trình duyệt của bạn hiển thị punycode, chứ không phải là ASCII của nó.

Dưới đây là một số mẹo bảo mật bổ sung:

  • Sử dụng trình quản lý mật khẩu – Nếu bạn đang sử dụng Tên miền Unicode, trình quản lý mật khẩu của bạn sẽ không bị lừa. Nó cũng sẽ không điền các trường đăng nhập với dữ liệu của bạn. Khi điều này xảy ra, đây sẽ là một lá cờ đỏ lớn về trang bạn đang truy cập.
  • Không theo các liên kết – Có rất nhiều cách liên kết có thể đánh lừa bạn, vì vậy đối với doanh nghiệp quan trọng hoặc trên các trang web truyền thông xã hội, hãy luôn nhập URL theo cách thủ công. Bằng cách này, bạn biết bạn đang hướng chính mình đến miền chính xác.
  • Bật Xác thực hai yếu tố – 2FA không thể bảo vệ bằng chứng xác thực đăng nhập của bạn nhưng có thể thêm một lớp bảo mật rất cần thiết nếu thông tin đăng nhập của bạn bị xâm phạm. Nó có thể là một nỗi đau khi phải nhập mã mỗi khi bạn đăng nhập vào tài khoản thư của bạn, nhưng nó sẽ giữ tài khoản của bạn an toàn nếu ai đó đánh cắp thông tin đăng nhập của bạn.

bình luận

LEAVE A REPLY