Attacco omografico al nome dominio

in #ita7 years ago

security-protection-anti-virus-software-60504.jpeg

In questo ultimo periodo si sta diffondendo una tecnica di attacco informatico, molto fine, che potrebbe ingannare l'utente dirottando il click di un link su un altro dominio. L'attacco, denominato IDN homographic attack, sfrutta una combinazione di stile typografico e particolari caratteri Unicode, rendendo di fatto quasi impossibile distinguere un link reale da uno fake.

Prima di entrare nel vivo dell'argomento, è utile evidenziare altre categorie di attacchi simili, e finora conosciuti, che si basano sulla sostituzione di caratteri.

Motivazioni dell'attacco

Per quale motivo i criminali informatici dovrebbero sostituire dei caratteri e giocarci brutti scherzi? Si tratta, come sempre, di un tentativo di frode, ma essenzialmente possiamo considerare questi attacchi come divisi in due categorie: phishing e fake news.
L'attacco tipico di phishing, finora più diffuso, si basa sulla riproduzione fedele di un sito web e nella scelta di un url che possa confondere. Il criminale informatico che vuole ottenere le credenziali di accesso del sito http://lamiabanca.it potrebbe costruire un link così formattato http://lamiabanca.it.xyz.com/ dove xyz.com è un dominio connesso ad un sito fraudolento. L'utente ingannato dalla presenza di lamiabanca.it nel percorso potrebbe essere tratto in inganno e cliccare il link.
L'attacco phishing cambia di forma grazie alle tecniche di sostituzione di caratteri, e diventa ancor più difficile accorgersi dell'inganno.

Ragionamento simile va fatto per le fake news. Un tempo venivano diffuse usando delle semplici immagini che, ricalcando il sito web originale (spesso una testata giornalistica), sostituivano il contenuto reale con un contenuto falso. Oggi il mondo delle fake news è così immenso che persino i social network (canale preferito per la diffusione delle fake news) si pongono il problema di arginare questa deriva dell'informazione.
Oggi, invece, si costruiscono veri e propri siti web che, grazie anche alle tecniche di sostituzione dei caratteri, vengono avvalorati per la semplice somiglianza del link originale.

Attacco Typosquatting

Il termine typosquatting deriva dall'unione parole anglosassoni typo (errore di battitura) e squatting (invasione, occupazione non consentita). Nel linguaggio informatico sta ad indicare una tecnica, che, attraverso quello che può apparire come un banale errore di battitura, tenta di imbrogliare l'utente.

Per definizione, quindi, il typosquatting inganna l'utente con un semplice errore grammaticale o connesso ad un errore umano sulla tastiera. Ecco degli esempi, a titolo puramente dimostrativo:

  • www.rebubblica.it
  • www.jutube.com
  • www.facebok.com
  • www.maicrosoft.com

L'utente, che di sua natura conosce implicitamente gli errori di battitura, è indotto a pensare che l'autore del link abbia semplicemente commesso uno sbaglio durante la digitazione. Al contrario questo link conduce, a seconda delle motivazioni dell'attacco, ad un sito phishing o ad un sito fake news.

Attacco Leetspeak

Il termine leet (o leetspeak) è connesso ad un gergo informatico, usato da una ristretta comunità di hacker degli anni 80 (leet è appunto la distorsione di elite) ed indica una tecnica usata per camuffare del testo e rendero non leggibile ai motori di ricerca. Tale tecnica prevede di sostituire alcune o tutte le lettere di una parola con delle cifre numeriche o caratteri speciali.
Per questo lo stesso leet spesso viene scritto come 1337, dove:

  • l → 1
  • e → 3
  • t → 7

Usato sia in ambito phishing che in ambito fake news, si serve anche di font tipografici che possano confondere ulteriormente l'utente:

  • www.googIe.com (google → googIe)
  • www.faceb00k.com (facebook → faceb00k)
  • www.repubbl1ca.it (repubblica → repubbl1ca)

Quindi, a seconda del tipo di font usato nel sito web, ad esempio, googIe potrebbe apparire identico a google. La differenza è che il primo viene scritto usando il carattere "I" (i maiuscola) al posto della "l" (L minuscola).

Attacco omografico del nome di dominio internazionalizzato

Di recente dimostrazione, questo attacco usa dei caratteri omografi, ovvero identici agli originali ma provenienti da un altro alfabeto. A differenza degli attacchi precedentemente discussi, che si limitavano all'uso dell'alfabeto Latin, in questo caso, con l'introduzione dello standard Unicode, è possibile attingere anche a caratteri di differente natura come il greco o il cirillico.

Chi ha scoperto questo particolare attacco ha, infatti, usato un particolare carattere: а. Se state leggendo una "a minuscola", vuol dire che siete dei potenziali vittime di questa tecnica fraudolenta.

  • аpple.com
  • apple.com

Qui sopra un link è orginale e l'altro è fake. Sapreste riconoscerlo? Il primo usa U+0430 (a in cirillico) e il secondo U+0061 (a latin). E' facile, quindi, immaginare come l'utente possa essere ingannato e dirottato verso un sito web differente.

Di caratteri omografi ne esistono veramente molti:

  • Cirillico: а, с, е, о, р, х e у
  • Greco: ο, ν, Α, Β, Ε, Η, Ι, Κ, Μ, Ν, Ο, Ρ, Τ, Χ, Υ, Ζ
  • Armeno: օ, ո, ս, Տ, Լ

Questi sono solo alcuni semplici esempi, ma le possibili combinazioni ed usi sono innumerevoli.

Non è tutto, questo attacco, per poter essere sferrato, ha bisogno di un'altra tecnica. La specifica dello standard Url ammette i caratteri:

  • a-z
  • A-Z
  • 0-9
  • _.-~
  • !*'();:@&=+$,/?#[]

questo ristretto insieme è contenuto nell'alfabeto Latin. In aiuto (si fa per dire) dei criminali arriva lo standard Punycode che permette di rappresentare un carattere Unicode attraverso una speciale codifica.
Il link fake visto sopra аpple.com può essere scritto come xn–pple-43d.com ed apparire in maniera omografa a apple.com.
Se vi siete persi nel ragionamento, forse è il caso che prestiate attenzione al prossimo paragrafo.

Possibili difese

Se non si vuole correre il rischio di diventare vittime di attacchi omografici, fortunatamente esistono delle estensioni per i principali browser:

IDN safe segnalerà il sito web fraudolento e lo bloccherà. In ogni caso è sempre buona norma seguire delle semplici precauzioni:

  • Aggiornare regolarmente il proprio browser
  • Verificare che il sito web abbia un certificato SSL, in modo da validare l'autenticità dell'autore.
  • Evitare di cliccare collegamenti all'interno di email, chat, post nei social network senza aver verificato, visualizzandolo, che il link sia affidabile.

Coin Marketplace

STEEM 0.19
TRX 0.25
JST 0.038
BTC 96742.26
ETH 3356.08
USDT 1.00
SBD 3.00