Urządzenia ADRA NDR
W celu przeprowadzania ataków phishingowych z wykorzystaniem Punycode atakujący rejestrują zwodnicze nazwy domen, wykorzystując umiędzynarodowione nazwy domen (IDN) zawierające określone znaki Unicode, które wizualnie przypominają litery łacińskie. Te oszukańcze witryny, wizualnie naśladujące legalne strony, nakłaniają użytkowników do wprowadzania poufnych informacji, takich jak dane logowania czy dane bankowe.
Kluczem do wizualnego podobieństwa są homoglify, czyli znaki Unicode z pism takich jak ormiańskie, cyrylica i greckie, które wyglądają bardzo podobnie do liter łacińskich. To wizualne podobieństwo pozwala atakującym rejestrować nazwy domen, które niemal idealnie przypominają legalne nazwy hostów. Na przykład homoglify – cyrylicka mała litera „a” (U+0430) oraz łacińska mała litera „a” (U+0061) – są wizualnie nieodróżnialne dla niczego niepodejrzewających użytkowników. Atakujący może przedstawić łącze, które wydaje się prowadzić do „apple.com”, ale w rzeczywistości kieruje użytkowników do fałszywej witryny zarejestrowanej z użyciem Punycode.
Punycode to system kodowania używany do reprezentowania adresów witryn zawierających znaki spoza ASCII, czyli znaki wykraczające poza podstawowy alfabet angielski, cyfry i symbole. Obejmuje to znaki z języków takich jak chiński, koreański czy tajski. Na przykład „ชื่อของฉัน” („moje imię”) jest konwertowane w Punycode na „xn--22ckgb2fvfb8ayc4k”. Przedrostek „xn--” wskazuje przeglądarce internetowej, że domena używa Punycode do reprezentowania znaków Unicode.
Nowoczesne przeglądarki, takie jak Apple Safari, Microsoft Edge i Internet Explorer, zapobiegają tym atakom z użyciem homoglifów, wyświetlając adresy URL w Punycode w ich formie Unicode (np. xn--80ak6aa92e.com). Jednak starsze przeglądarki, takie jak Google Chrome 58 (stable) i Firefox w wersjach wcześniejszych niż 57, mogą automatycznie konwertować adresy URL w Punycode zawierające różne systemy pisma na znaki ASCII, potencjalnie ukrywając złośliwe adresy witryn.
Urządzenia ADRA NDR mogą natychmiast wykrywać potencjalne zagrożenia phishingowe i ataki z użyciem homoglifów, które wykorzystują IDN zawierające Punycode. Po wykryciu takich zagrożeń ADRA NDR wysyła administratorom sieci powiadomienie o zagrożeniu wysokiego ryzyka, zawierające szczegóły dotyczące podejrzanego adresu URL. Administratorzy mogą następnie zweryfikować, czy dany adres URL używa domeny Punycode, sprawdzając jego surowy format ASCII.
Alternatywnie administratorzy sieci mogą użyć zapory sieciowej do filtrowania adresów URL na każdym urządzeniu w sieci.
Omówienie
W celu przeprowadzania ataków phishingowych z wykorzystaniem Punycode atakujący rejestrują zwodnicze nazwy domen, wykorzystując umiędzynarodowione nazwy domen (IDN) zawierające określone znaki Unicode, które wizualnie przypominają litery łacińskie. Te oszukańcze witryny, wizualnie naśladujące legalne strony, nakłaniają użytkowników do wprowadzania poufnych informacji, takich jak dane logowania czy dane bankowe.
Kluczem do wizualnego podobieństwa są homoglify, czyli znaki Unicode z pism takich jak ormiańskie, cyrylica i greckie, które wyglądają bardzo podobnie do liter łacińskich. To wizualne podobieństwo pozwala atakującym rejestrować nazwy domen, które niemal idealnie przypominają legalne nazwy hostów. Na przykład homoglify – cyrylicka mała litera „a” (U+0430) oraz łacińska mała litera „a” (U+0061) – są wizualnie nieodróżnialne dla niczego niepodejrzewających użytkowników. Atakujący może przedstawić łącze, które wydaje się prowadzić do „apple.com”, ale w rzeczywistości kieruje użytkowników do fałszywej witryny zarejestrowanej z użyciem Punycode.
Punycode to system kodowania używany do reprezentowania adresów witryn zawierających znaki spoza ASCII, czyli znaki wykraczające poza podstawowy alfabet angielski, cyfry i symbole. Obejmuje to znaki z języków takich jak chiński, koreański czy tajski. Na przykład „ชื่อของฉัน” („moje imię”) jest konwertowane w Punycode na „xn--22ckgb2fvfb8ayc4k”. Przedrostek „xn--” wskazuje przeglądarce internetowej, że domena używa Punycode do reprezentowania znaków Unicode.
Nowoczesne przeglądarki, takie jak Apple Safari, Microsoft Edge i Internet Explorer, zapobiegają tym atakom z użyciem homoglifów, wyświetlając adresy URL w Punycode w ich formie Unicode (np. xn--80ak6aa92e.com). Jednak starsze przeglądarki, takie jak Google Chrome 58 (stable) i Firefox w wersjach wcześniejszych niż 57, mogą automatycznie konwertować adresy URL w Punycode zawierające różne systemy pisma na znaki ASCII, potencjalnie ukrywając złośliwe adresy witryn.
Szczegóły
Urządzenia ADRA NDR mogą natychmiast wykrywać potencjalne zagrożenia phishingowe i ataki z użyciem homoglifów, które wykorzystują IDN zawierające Punycode. Po wykryciu takich zagrożeń ADRA NDR wysyła administratorom sieci powiadomienie o zagrożeniu wysokiego ryzyka, zawierające szczegóły dotyczące podejrzanego adresu URL. Administratorzy mogą następnie zweryfikować, czy dany adres URL używa domeny Punycode, sprawdzając jego surowy format ASCII.
Alternatywnie administratorzy sieci mogą użyć zapory sieciowej do filtrowania adresów URL na każdym urządzeniu w sieci.
Dalsze informacje
- Szczegółowe informacje na temat Punycode można znaleźć na Wikipedii.
- Co powinienem zrobić, gdy ADRA NDR wykryje działania wysokiego ryzyka?
- Czy urządzenia ADRA NDR mogą wykrywać exploity EternalBlue i reagować na nie?