Афера против пользователей WhatsApp, Firefox и Safari: URL-адреса могут быть поддельными

Остерегайтесь ссылок, полученных через электронную почту и клиент обмена сообщениями: они могут указывать на мошеннические сайты, даже если домен кажется правильным.

Вот уже несколько недель в WhatsApp циркулируют фишинговые кампании с целью побудить пользователей посещать веб-сайты, которые, по-видимому, принадлежат всемирно известным брендам. На первый взгляд представленный сайт выглядит абсолютно законным: на самом деле это домен, которым управляют злоумышленники и киберпреступники.

Вот пример мошенничества в отношении Adidas, очень известной компании, производящей обувь, одежду и спортивные товары, и ее клиентов:

Афера против пользователей WhatsApp, Firefox и Safari: URL-адреса могут быть поддельными

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Самые внимательные не ускользнут от странной точки под второй буквой «а». Если открыть ссылку с устройства Apple iOS в браузере Safari, домен Adidas появится в адресной строке, всегда с этой любопытной точкой.

Менее сообразительные будут думать о «графической проблеме», не понимая, что вместо этого реализованная проблема является не чем иным, как хитроумной фишинговой атакой.

Адрес, указанный в сообщении WhatsApp, относится не к официальному веб-сайту Adidas, а к домену xn — adids-m11b (точка) com, который, как можно проверить с помощью службы WHOIS. нравится его фиксируют неизвестные лица (которые в том числе воспользовались сервисом по сокрытию реальных данных регистранта).

Используемый прием не нов: он возник из-за использования в обманных целях Punycode, системы кодирования, которая служит для уникального представления последовательности символов Unicode через последовательность символов ASCII.

То Набор символов ASCII, как известно, он ограничен: для рендеринга специальных символов с помощью ASCII, например, используемых в «нелатинских» языках (вспомните дальневосточные языки), можно использовать Punycode. Таким образом, например, могут быть зарегистрированы доменные имена, которые затем отображаются с правильными символами в странах, где используются нетрадиционные алфавиты: см. Фишинг, поддельный сайт, похоже, имеет тот же URL-адрес, что и настоящий.

В то время как браузер Chrome давно решил проблему, а также Opera и Edge (мы объясняли это в статье Chrome разоблачает адреса фишинговых сайтов, имитирующих настоящие), открытие веб-адресов, содержащих Punycode, с помощью Safari, Firefox и WhatsApp. приложение для обмена сообщениями, вы можете легко попасть в ловушку.

Как работает атака с использованием Punycode и проверьте, какие приложения уязвимы

Чтобы проверить, как работает атака, попробуйте посетить этот сайт и вставьте https://www.xn--80ak6aa92e.com на правой панели (Punycode).

В этот момент нажмите кнопку «Преобразовать в текст», затем выберите и скопируйте (CTRL + C) URL-адрес https://www.apple.com, который вы найдете слева в текстовом поле.

Афера против пользователей WhatsApp, Firefox и Safari: URL-адреса могут быть поддельными

Скопируйте URL-адрес https://www.apple.com, взятый из текстового поля в адресной строке Firefox или в Safari, в iOS.

Афера против пользователей WhatsApp, Firefox и Safari: URL-адреса могут быть поддельными

Вы увидите, что при посещении этого сайта будет показана не домашняя страница официального сайта Apple, а альтернативная страница под названием «Привет! Этот сайт явно не связан с Apple, а скорее демонстрирует недостаток в способе обработки доменов Unicode. в браузерах».

Прелесть в том, что как в WhatsApp, так и в WhatsApp Web кажется, что только URL-адрес https://www.xn--80ak6aa92e.com был невероятно «нейтрализован», что фактически вызывает отображение доменного имени Apple при использовании, чем любой другой Punycode, такой как тот, который использовался в мошенничестве с Adidas, по-прежнему не контролируется должным образом.

Афера против пользователей WhatsApp, Firefox и Safari: URL-адреса могут быть поддельными

Поэтому мы предлагаем нашим читателям обратить пристальное внимание на URL-адреса, полученные по электронной почте или через программное обеспечение для обмена мгновенными сообщениями.

В случае WhatsApp, только наведя указатель мыши на ссылку и проверив, что отображается в строке состояния, вы можете заметить «недостаток».

Заблокировать использование Punycode в Firefox

Как мы советовали в то время (фишинг, поддельный сайт, похоже, имеет тот же URL-адрес, что и законный), чтобы просматривать доменные имена в Firefox, избегая управления какими-либо специальными символами в них, мы предлагаем ввести about: config в строке адресов браузера, напишите show_punycode в поле поиска, затем дважды щелкните параметр network.IDN_show_punycode, чтобы установить для него значение true.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.