Злоумышленники могут создавать фишинговые домены, выглядящие легитимно, используя уязвимость в популярных веб-браузерах, которые не могут должным образом защитить своих пользователей от атак.Веб-разработчик Худонг Джэн (Xudong Zheng) продемонстрировал, как злоумышленник может зарегистрировать доменное имя «xn--80ak6aa92e.com», которое отображается веб-браузерами Chrome, Opera и Firefox, как «apple.com».Unicode - стандарт кодирования символов, позволяющий представить знаки почти всех письменных языков. Символы Unicode могут использоваться в именах доменов через Punycode. Например, китайское слово «短» эквивалентно «xn - s7y».Кириллическая «а» и латинская «а» могут выглядеть одинаково, но они представлены по-разному в Punycode, позволяя злоумышленникам создавать домены, где латинские буквы заменяются похожими греческими или кириллическими символами. Эта атака известна под именем IDN homograph attack.Современные веб-браузеры должны предотвращать такие типы атак - например, «xn--pple-43d.com» будет отображаться как «xn--pple-43d.com» вместо «apple.com». Однако эксперт, что этот фильтр можно обойти в Chrome, Firefox и Opera, создав полное имя домена с использованием кириллических символов, в результате этого «xn--80ak6aa92e.com» будет отображаться как «apple.com».Чтобы доказать свою гипотезу, исследователь зарегистрировал домен «xn--80ak6aa92e.com» и получил для него бесплатный цифровой сертификат от Let's Encrypt. Когда к домену обращаются через Opera, Chrome или Firefox, пользователь видит доменное имя «apple.com» с сертификатом, выданным для «apple.com».Джэн сообщил о своей находке Google и Mozilla 20 января. В Chrome 58 эта проблема будет решена, а вот Mozilla все еще пытается выяснить, как исправить ее.Источник: https://www.anti-malware.ru/news/2017-04-19/22783
Решето
Никто из софтачеров не боится что-ли что он попадёт на фишинговый сайт, где даже домен будет визуально совпадать с оригиналом и ничего не подозревая отправит свои логин/пасс какого-нибудь ценного аккаунта без двухфакторной аутентификации чужому дяде? Как можно защитить себя от этого, не считая 2FA? Дискас.
>>2024532 (OP)Неплохая попытка, но я вижу, что адресс липовый.
>>2025934Чего им бояться, не все ли равно фишинговый это двач или нет, если все сидим на мыло-бутылке.
>>2025934>(Microsoft Windows XPЯ бы на твоем месте боялся других дырок
>>2025934Нет, потому что даже не догадываюсь, как на них попасть.
В 38 ESR не работает.В 45 ESR работает.
>>2026690Странно, у меня так отображается этот адрес.
>>2024532 (OP)Хромой так же подвержен уязвимости.
>>2024532 (OP)сайберфокс, все норм
>>2027154На хроме тоже пофиксили.
>>2027154Какая мерзость.
>>2027155И на Вивальди.
>>2024532 (OP)> Кириллическая «а» и латинская «а» могут выглядеть одинаково, но они представлены по-разному в Punycode, позволяя злоумышленникам создавать домены, где латинские буквы заменяются похожими греческими или кириллическими символами.
>>2027125TIL, на винде ШГ
>>2026483Могут провести атаку на DNS сервера интернет-провайдера и отравить кеш. В итоге некий vk.com будет соответствовать ip-адресу какого-нибудь васяна. Но это при условии того, что провайдер обосрется.
>>2027583Бред. Даже если vk.com будет соответствовать IP-адресу васяна, упомянутую в треде атаку не проведёшь, потому что сертификата для vk.com у тебя не будет, а будет только для v(кириллическое-к).com.Зато можно по-другому: просто скидываешь кому-нибудь ссылку на такой «vk» и он логинится в свой аккаунт, отдавая тебе пароль.
>>2027629Что помешает васяну сделать самописный сертификат? Большинство пользователей даже не обращают внимание на используемый протокол:http или https. На значок слева от протокола им зачастую вообще плевать. Определенное число людей все равно попадется. Человек смотрит в поле URI и видит что сайт вроде тот по крайней мере визуально и вводит свои логин\пароль.
>>2027583Если домен использует DNSSEC, а провайдер делает валидацию то соснешь на подходе. Вот от таких васянов мы и разрабатываем такие штуки. Но это не касается долбоебов из mail.ru group, которые так и не настроили DNSSEC на домене vk.com
>>2027826Если провайдер использует DNSSEC, то васяны могут попытаться использовать иную уязвимость DNS-сервера. Я о классическом переполнении буфера и прочем. Если таки взломают обнаружат какой-нибудь 0-day в bind и прочих реализациях, то что им помешает перенастроить DNS?
