Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал (https://www.xudongz.com/blog/2017/idn-phishing/) новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave.

Атака основана на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Классическая подмена через внешне сходный IDN-домен успешно блокируется в браузерах путём запрета  смешивания символов из разных алфавитов. Например, подставной домен аpple.com не получится создать путём замены латинской "a" на кириллическую "а" ("xn--pple-43d.com"), так как смешивание в домене букв из разных алфавитов не допускается.

Для обхода подобной защиты оказалось достаточно зарегистрировать домен, который состоит только из unicode-символов. Для демонстрации метода зарегистрирован домен аррӏе.com, который не имеет отношения к компании Apple и отличается от домена apple.com использованием символа "ӏ", похожего по начертанию на "l", что делает его неотличимым в адресной строке.

При этом в имя домена задаётся только через Unicode-символы (xn--80ak6aa92e.com), используя наборы Unicode-символов для языков, основанных на латинице (базовые латинские символы + несколько расширенных букв). Так как все символы в таком домене относятся к набору для одного языка, защита от смешивания не срабатывает. Далее для такого домена удалось получить SSL-сертификат, что позволило создать иллюзию использования защищённого соединения к  аррӏе.com.

Исправление с устранением уязвимости уже включено в кодовую базу Chromium и войдёт в состав выпуска Chrome 58. Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

URL: https://www.xudongz.com/blog/2017/idn-phishing/
Новость: http://www.opennet.me/opennews/art.shtml?num=46394

• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 22:41 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:00 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:52 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 00:01 , 18-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,YetAnotherOnanym, 11:33 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,F, 11:01 , 19-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:13 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,imprtat, 00:51 , 18-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 11:21 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,элвис жив, 04:48 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,F, 11:02 , 19-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 22:42 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,F, 11:05 , 19-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,trolleybus, 22:42 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,A.Stahl, 23:18 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:18 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Принц, 23:41 , 17-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,Старый одмин, 00:00 , 18-Апр-17
        • Новый метод фишинга с использованием unicode-символов в доме...,anonim1, 00:37 , 18-Апр-17
          • Новый метод фишинга с использованием unicode-символов в доме...,Pahanivo, 11:12 , 18-Апр-17
            • Новый метод фишинга с использованием unicode-символов в доме...,F, 11:08 , 19-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,vanoc, 08:54 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 00:15 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,iPony, 07:15 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Pahanivo, 11:12 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 17:43 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 22:42 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,trolleybus, 22:45 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Sw00p aka Jerom, 23:54 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Laverna, 02:14 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Sw00p aka Jerom, 15:07 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 22:56 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:12 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 13:15 , 18-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,biomassa, 22:15 , 18-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,Anonimus, 12:56 , 19-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,JL2001, 16:41 , 19-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Мимо крокодил, 23:45 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 01:08 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Anoim, 08:58 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в домене,Аноним, 23:15 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в домене,Аноним, 00:46 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в домене,Аноним, 09:17 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Принц, 23:40 , 17-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:50 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 23:56 , 17-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Принц, 08:59 , 18-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 13:03 , 19-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Иван, 18:11 , 16-Янв-18
• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 00:16 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 01:47 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 08:44 , 18-Апр-17
      • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 00:56 , 19-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 13:18 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,iPony, 15:21 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 01:01 , 19-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 00:42 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Laverna, 02:16 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 07:27 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 09:04 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 09:14 , 18-Апр-17
    • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 14:53 , 18-Апр-17
• Новый метод фишинга с использованием unicode-символов в доме...,CHERTS, 10:24 , 18-Апр-17
  • Новый метод фишинга с использованием unicode-символов в доме...,Аноним, 09:38 , 28-Апр-17

>Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave

Внезапно хорошие новости с проприетарного фронта.

Ты смотри, а то сейчас на новостных помойках появятся заголовки "Известный сайт об открытом и свободном ПО OpenNET.ru признал безопасной винду и другие широкоизвестные мировые программные продукты"

Кому какое дело до того, что происходит на узкоспециальных новостных помойках, включая..

> "Известный сайт об открытом и свободном

пф, чуть печенькой не подавился от смеха

> печенькой

Ты уже перешёл на их сторону?

Зачем обзываться?

Ну, можно же написать и наоборот - "Один из маргинальных посетителей малоизвестная помойки, посвященной так называемому "открытому" ПО, выразил мысль, что Edge может быть применен не только в серьезных деплоях" :)

Ничего личного в сторону opennet!!

>>Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave
> Внезапно хорошие новости с проприетарного фронта.

Просто у них вообще для IDN набор символов искусственно ограничен, захочешь домен на узбекском создать, а нет.

>> набор символов искусственно ограничен

или же просто не работает :)

> не работает

В контексте сабжа это не так уж и плохо. :)

У узбеков латиница же.

>>>Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave
>> Внезапно хорошие новости с проприетарного фронта.
> Просто у них вообще для IDN набор символов искусственно ограничен, захочешь домен
> на узбекском создать, а нет.

А надо? вроссию.uz ?

Шикос, всегда подозревал что национальные домены это потенциальная лазейка для фишеров.

Вообще, любая схема именования - лазейка для фишеров.

Скажем, хочет производитель яблок завести сайт про яблоки свои, ан нет - apple.com уже куплен. Покупает он тогда myapple.com, а через неделю к нему приходят юристы Эппл, и обвиняют, что он - фишер.

Только IPv6-адреса, только хардкор спасет от подмены имен. Эти адреса пока напечатаешь, волей-неволей подумаешь 5 раз, нужно ли тебе на сайт, и проверишь каждый символ!

А вот нечего было юникод в именах разрешать. Что, ASCII не хватает уже?

>Что, ASCII не хватает уже?

Только КОИ7-Н1, только хардкор и маразм!

И 640 Кб тоже всем хватает, ага.

Ты лучше представь, как бы заходил на алиэкспресс, если бы у него был домен на китайском.

По IP ходили бы, как по старинке

Какой же ты админ если не знаешь что такое HTTP (по секрету - на одном IP может быть больше одного сайта)

> Какой же ты админ если не знаешь что такое HTTP (по секрету
> - на одном IP может быть больше одного сайта)

он видимо настолько стар что еще arpanet видел )))

А в arpanet разве http был? Она, вообще, закрыта-то в 1990 году, так что многие имели шанс ее увидеть, только много последних лет она была "только для тех, кому надо" - как тот неуловимый Джо.

А вот http начали развивать с 1989, и был он вовсе не в ARPANET запущен.

Незачет по матчасти, иди в школу уже!

В Китае большой популярностью пользуются цифровые домены. Наверняка у али есть цифровой домен.

Так и знал, что http://президент.рф создан для фишинга...

> ASCII не хватает уже?

Не. Не хватает https://😻🍕.ws/🍬🏨🎬

> Не. Не хватает https://😻🍕.ws/🍬🏨🎬

етить тваю мать, котики!!!

Домены же за деньги продают. Теперь владельцы крупных брендов покупают не только обычный ASCII-домен, но и IDN для своего языка. Профит! А еще кучу новых TLD сделали — еще больше профита!

> Для Firefox исправление пока находится в процессе разработки, для блокирования уязвимости предлагается отключить поддержку Punycode (в about:config network.IDN_show_punycode = true)

Посмотрел, по умолчанию уже стоит "false".
Внимание! Вопрос:
Кто лазил в мой браузер?

Видимо, true значит "отключить" (т.е. показывать Punycode, а не интернациональное имя)

тру значить показать именно в пуникоде, а раз пуникод значит не apple.com

ps:редактор новости не в курил в тему, ничего там не отключается.

Чукча не читатель? Нужно сделать true, чтобы защититься. А у вас, конечно, false по дефолту.

у всех он по дефолту фолс ибо смысл?

Маразм: сначала вводим никому ненужные юникодные домены, затем героически боремся с последствиями. Да кому в здравом уме нужен юникодный домен, исключая случай "просто прикольно" ? Пыль в глаза. И лишние затраты ресурсов на пускание пыли.

Объективно - никому.
Субъективно - арабам с их левосторонней письменностью.

Представляю, каково этим арабам читать сначала http:// слева направо, потом куски доменного имени справа налево, переходя от самого левого к самому правому...

Элементарно Ватсон:
moc.elgoog\\:sptth

Протокол писать не обязательно же. Но и без этого у них проблем хватает, например, с числами и написанием интервалов 2003-1989

> Представляю, каково этим арабам читать сначала http:// слева направо, потом куски доменного
> имени справа налево, переходя от самого левого к самому правому...

не так уж и плохо если вот так http://ru.org.bash

Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем "s как доллар, е как е русская..."

> Объективно - по телефону удобнее диктовать "продам дефис гараж точка рф" чем
> "s как доллар, е как е русская..."

и что толку? всё равно половина напишет "прадам-гараш.рв"

А давно SMS и месенджеры всякие отменили?

Решение проблемы кстати можно очень простое придумать - выводить все IDN-домены с "xn--" другим цветом.

Поможет только отличить IDN от похожего не-IDN имени, но не поможет отличить два различных, но одинаково выглядящих IDN.

Тогда делаем цвет на основе хэш-функции имени.

А в чём уязвимость? Символы как символы, ну и что что они путаются. Что, я уже не могу зарегистрировать свободный домен, потому что кто-то может его перепутать, и меня браузеры должны метить как-то?

Ты, дядя, похоже вовсе не знаешь, что такое фишинг.

> Ты, дядя, похоже вовсе не знаешь, что такое фишинг.

Я знаю. Fishing - рыбалка.

Как браузер будет отличать фишинг-домен и просто домен, похожий на другой? Вот я захотел создать домен аpple.com с русской а в начале. Не чтобы обманывать посетителей, а чтобы яблоки на нём продавать.

ручками набирать надо, а ни гуглояндексом :)

> не знаешь, что такое фишинг.

Ну сами же хотели "в своей стране читать и писать на своём языке". Нате, жрите, не вопите.

Понимаю немножко не по теме. Но не подскажите где еще можно скачать тор браузер. Я из Казахстана. И у нас сайт тора заблокирован.

Отсюда можете скачать?
https://mega.nz/#F!Evp3zBjJ!ALIchKp9Jd8l1B4316MMwg

Посоны, не качайте, там вирус! Пишу с тамагочи

На самом деле нет, но мысль здравая: не стоит доверять файлам анонима с файлообменника. Поэтому закачал вместе с цифровыми подписями, но чтобы их проверить нужно получить соответствующий публичный ключ проекта Тор из какого-то более надежного источника.

> Понимаю немножко не по теме. Но не подскажите где еще можно скачать
> тор браузер. Я из Казахстана. И у нас сайт тора заблокирован.

Вам не сюда. Обратитесь на форум Friendship Is Magic.

> Friendship Is Magic

Их тоже блокируют https://derpiboo.ru

Установите (можно в виртуальную машину) любой дистрибутив GNU/Linux, в репозиториях которого есть пакет tor. В качестве браузера для tor сгодится icecat.

Теперь Хром не показывает доменные имена, состоящие только из символов кириллицы похожих на какие-нибудь символы латиницы, если TLD не IDN). Сколько еще понадобится таких специальных исключений?

Дык это как бы не новость.
Год назад я репортил вот это:
https://bugzilla.mozilla.org/show_bug.cgi?id=1256009

Актуально до сих пор.

Это вариант со смешиванием, который в chrome не прошел бы. В новости описан способ обхода защиты от подобного.

а что, разница между www.аррӏе.com и www.apple.com совершенно не заметна?

Если не смотреть коды символов, то не заметна. Естественно, все от шрифта ещё зависит, на некоторых разница будет заметна.
(Если они у вас действительно отличаются, а то я не проверял)

На мобильной версии опеннета это хорошо видно - в "свернутых" комментариях вместо юникодных символов отображаются их коды. Тут код 1231.

php-функция idn_to_utf8 при попытке использовать xn--80ak6aa92e.com не может перевести в аррӏе.com
А php-функция idn_to_ascii для аррӏе.com ничего не декодирует, возвращает пустоту.
Весело в общем.

Новости из мира php? Держите нас в курсе...