Deze phishing-aanval is niet te detecteren! Het kan je zelfs voor de gek houden

Onlangs heeft een beveiligingsonderzoeker een enge phishing-aanval aangetoond die bijna niet te detecteren is. Deze aanval lijkt onmogelijk te detecteren! De meeste browsers hebben echter een beveiligingsmechanisme ingeschakeld, maar ze detecteren niet elke versie van dergelijke aanvallen.

Deze phishing-aanval is niet te detecteren! Het kan je zelfs voor de gek houden

Laten we het eerst hebben over Punycode. Het is een manier om Unicode weer te geven binnen een beperkte tekenset van ASCII die wordt gebruikt voor internethostnamen. Deze methode helpt bij het registreren van domeinnamen met vreemde tekens.

Zoals de domeinnaam “xn--s7y.co” hetzelfde is als “短.co”. Welnu, onlangs heeft een beveiligingsonderzoeker een enge phishing-aanval aangetoond die bijna onmogelijk te detecteren is.

Het concept van deze enge aanval is oud. Het is echter net opgedoken in de nieuwste versie van browsers zoals Google Chrome, Mozilla Firefox, Opera. Deze browsers tonen in plaats van Unicode-tekens normale tekens.

Het weergeven van de normale tekens in plaats van Unicode maakt het onmogelijk om de beruchte domeinen te detecteren. Volgens de Chinese beveiligingsonderzoeker Xudong Zheng is het mogelijk om domeinen zoals “xn--pple-43d.com” te registreren, wat gelijk staat aan “apple.com”.

AFBEELDINGSBRON: xudongz.com
AFBEELDINGSBRON: xudongz.com

In de bovenstaande afbeelding ziet u “apple.com”. Hier gebruikt apple.com Cyrillische ‘a’ (U+0430), in plaats van de ASCII ‘a’ (U+0041). Dit type phishing-aanval wordt ook wel homograafaanval genoemd.

Welnu, deze aanval lijkt onmogelijk te detecteren! De meeste browsers hebben echter een beveiligingsmechanisme ingeschakeld, maar ze detecteren niet elke versie van dergelijke aanvallen.

De bug is gemeld op 20 januari 2017. De oplossing is al in de Chrome Canary-browser geland. Het wordt uitgerold in Chrome 58, dat naar verwachting volgende week zal verschijnen. Firefox-gebruikers kunnen naar: over: configuratie en dan aan in instellingen draai netwerk.IDN_show_punycode naar waar.

Als je meer wilt weten over deze aanval, lees dan Xudong Zheng’s blogpost. Dus, wat vind je hiervan? Deel uw mening in het opmerkingenveld hieronder.

Nieuwste artikelen

Gerelateerde artikelen