martedì 18 aprile 2017 di Michele Nasi 3476 Letture
Phishing, un sito fasullo sembra avere lo stesso URL di quello legittimo

Phishing, un sito fasullo sembra avere lo stesso URL di quello legittimo

Chrome e Firefox possono indurre gli utenti in errore facendo loro ritenere che un sito malevolo sia quello legittimo: l'URL mostrato nella barra degli indirizzi sembra infatti essere quello corretto. Ecco come può accadere.

I criminali informatici che realizzano campagne phishing sono costantemente alla ricerca di nuove metodologie che consentano loro di rendere più efficaci i loro attacchi.
L'utilizzo di una particolare tecnica, basata sulla codifica del nome a dominio, dà modo a un aggressore di imitare qualunque URL legittimo.
Punycode è una particolare modalità che consente di rappresentare il set di caratteri Unicode con un sottoinsieme limitato di caratteri ASCII.

Da Chrome e Firefox si provi a copiare e incollare, nella barra degli indirizzi, l'URL https://www.xn--80ak6aa92e.com: esso apparirà come https://www.apple.com.
Si pensi a un link inserito in una mail truffaldina: cliccandolo, l'utente penserà di trovarsi realmente sul sito di Apple quando, in realtà, starà visitando una pagina malevola, costruita "ad arte" per sottrarre dati personali e credenziali d'accesso.


Phishing, un sito fasullo sembra avere lo stesso URL di quello legittimo

Il prefisso xn-- indica al browser che l'URL è descritto con una codifica ASCII-compatibile.
Questo approccio permette ai soggetti residenti in Paesi nei quali vengono utilizzati alfabeti non convenzionali, di registrare nomi a dominio che contengono solamente i caratteri usati nelle nazioni occidentali ma che possono essere resi - ad esempio -con caratteri cinesi, giapponesi o coreani.

Nell'intento di arginare gli attacchi phishing, Google ha comunicato che con il rilascio di Chrome 59 interverrà sulle modalità con cui vengono mostrati gli URL Punycode.
Mozilla, invece, non ha ancora deciso se e come il problema verrà gestito: per il momento, portandosi nelle impostazioni (about:config) quindi configurando a true il parametro network.IDN_show_punycode, si potrà riconoscere più facilmente un attacco phishing.