Truffa ai danni degli utenti di WhatsApp, Firefox e Safari: gli URL possono essere falsi

Ormai da settimane stanno circolando su WhatsApp campagne phishing aventi come obiettivo quello di spronare gli utenti a visitare siti web che sembrano appartenere a brand di fama internazionale. A una prima occhiata, il sito che viene presentato sembra assolutamente legittimo: in realtà, si tratta di un dominio gestito da malintenzionati e criminali informatici.

Ecco un esempio di truffa ai danni di Adidas, famosissima azienda che produce calzature, abbigliamento e articoli sportivi, e dei suoi clienti:

Ai più attenti non sarà sfuggita la presenza di quello strano puntino sotto la seconda lettera “a”. Aprendo il link da un dispositivo Apple iOS con il browser Safari, nella barra degli indirizzi comparirà il dominio di Adidas, sempre con quel curioso puntino.

I meno smaliziati penseranno a un “problema grafico” senza accorgersi che, invece, quello messo in atto altro non è che un ingegnoso attacco phishing.

L’indirizzo linkato nel messaggio WhatsApp non fa riferimento al sito ufficiale di Adidas bensì al dominio xn--adids-m11b (dot) com che, come si può verificare utilizzando un servizio WHOIS come questo è registrato da parte di sconosciuti (che hanno tra l’altro usato un servizio per l’oscuramento dei dati reali del registrante).

L’espediente utilizzato non è nuovo: esso trae origine dall’utilizzo per finalità ingannevoli del Punycode, un sistema di codifica che serve a rappresentare univocamente una sequenza di caratteri Unicode tramite una sequenza di caratteri ASCII.
Il set di caratteri ASCII, com’è noto, è limitato: per rendere con ASCII dei caratteri speciali, come quelli che si usano nelle lingue “non latine” (si pensi alle lingue estremo-orientali), si può ricorrere appunto al Punycode. In questo modo si possono ad esempio registrare nomi a dominio che vengono poi resi con i caratteri giusti nei Paesi dove si usano alfabeti non convenzionali: vedere Phishing, un sito fasullo sembra avere lo stesso URL di quello legittimo.

Mentre il browser Chrome ha già da tempo risolto il problema, così come Opera ed Edge (lo abbiamo spiegato nell’articolo Chrome smaschera gli indirizzi dei siti di phishing che imitano quelli legittimi), aprendo indirizzi web che contengono Punycode con Safari, Firefox e con l’app di messaggistica WhatsApp, si potrebbe facilmente cadere nel tranello.

Come funziona l’attacco che sfrutta Punycode e verificare quali applicazioni sono vulnerabili

Per controllare come funziona l’attacco, provate a visitare questo sito e incollare https://www.xn--80ak6aa92e.com nel riquadro di destra (Punycode).

A questo punto cliccate sul pulsante Convert to text quindi selezionate e copiate (CTRL+C) l’URL https://www.apple.com che trovate sulla sinistra nel riquadro Text.

Copiate l’URL https://www.apple.com tratto dal riquadro Text nella barra degli indirizzi di Firefox oppure su Safari, in iOS.

Vedrete che visitando il sito non comparirà la home page del sito ufficiale di Apple bensì una pagina alternativa dal titolo “Hey there! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers“.

Il bello è che sia su WhatsApp che su WhatsApp Web sembra che sia stato incredibilmente “neutralizzato” solo l’URL https://www.xn--80ak6aa92e.com che appunto provoca la visualizzazione del nome a dominio di Apple mentre l’uso di qualunque altro Punycode, ad esempio come quello adoperato nella truffa Adidas continua a non essere adeguatamente gestito.

Invitiamo quindi i nostri lettori a porre la massima attenzione sugli URL ricevuti via email o tramite software per la messaggistica istantanea.
Nel caso di WhatsApp, solamente portando il puntatore del mouse sul link e verificando quanto mostrato nella barra di stato ci si può accorgere della “magagna”.

Bloccare l’utilizzo del Punycode in Firefox

Come avevamo consigliato a suo tempo (Phishing, un sito fasullo sembra avere lo stesso URL di quello legittimo), per visualizzare i nomi a dominio in Firefox evitando che vengano gestiti gli eventuali caratteri speciali in essi presenti, suggeriamo di digitare about:config nella barra degli indirizzi del browser, scrivere show_punycode nella casella di ricerca quindi fare doppio clic sul parametro network.IDN_show_punycode in modo tale da impostarne il valore a true.