Un nuevo ataque hace «el phishing perfecto» en Chrome y Firefox

Con certificado de seguridad incluido

El ojo entrenado logra detectar sin mayores dificultades a un sitio que está tratando de hacerse pasar por otro, pero el phishing aún funciona bastante bien en el robo de credenciales, y lo último que necesita es un mejor camuflaje. Lamentablemente, eso es lo que obtiene a través del soporte Punycode en Firefox y Chrome, que puede ser utilizado para esconder una dirección maliciosa y presentarla al usuario como un dominio válido y protegido.

Un par de meses atrás hablamos sobre las sutiles diferencias entre los caracteres normales, y aquellos disponibles vía Unicode que pueden confundir a los usuarios. Es un truco simple por donde se lo mire, pero a pesar de los nuevos esfuerzos en seguridad, el phishing no ha perdido efectividad. Todo comienza con un poco de educación: La gran mayoría de las compañías en la Web no contactan al usuario salvo que lo haya autorizado de forma explícita, o sea necesario comunicar algo con extrema urgencia, por ejemplo, la crisis de seguridad que afectó a Yahoo!. Muchos expertos en seguridad indican que la recomendación de «no hacer clic en enlaces» no es apropiada ya que la Web en sí es una red de enlaces, pero eso no impide que deban ser tomados con una pizca de «caveat emptor». El enlace puede no ser lo que parece, y la última prueba de ello llega gracias al investigador Xudong Zheng.

En la barrra de direcciones dice epic.com…

Este último ataque homógrafo aprovecha el sistema Punycode que permite la codificación de caracteres especiales Unicode en dominios web. Como referencia, «nеotеo.com» no es lo mismo que «neoteo.com», por más que nuestros ojos digan lo contrario. Pero el verdadero problema aquí es que las últimas versiones de Firefox y Chrome (eso incluye a sus variantes) están presentando al dominio «maquillado» en la barra de direcciones, en vez de enseñar la dirección sin codificar. El ejemplo que publicó la gente de Wordfence es contundente: Lo que aparenta ser «https://www.epic.com» es en realidad «https://www.xn--e1awd7f.com». El certificado de seguridad fue obtenido con la ayuda del portal Let’s Encrypt, y el proceso entero tomó unos cinco minutos. Eso es suficiente para que Firefox y Chrome anuncien al sitio falso como «seguro».

… pero es otra cosa. Y también tiene candado.

Por suerte, la corrección en Chrome está progresando. El build Canary incluye el hotfix necesario, y llegará a las ediciones estables dentro de unos días. Mejores noticias hay para los usuarios de Firefox, que sólo deben ingresar a about:config, buscar el parámetro network.IDN_show_punycode, y cambiar su valor de «false» a «true».

Leave your vote

21 puntos
Upvote Downvote

Total votes: 23

Upvotes: 22

Upvotes percentage: 95.652174%

Downvotes: 1

Downvotes percentage: 4.347826%

  • Pacco

    Me he quedado helado al hacer la prueba en Firefox, siendo que siempre valido que visualmente el candado esté en verde. 😐

  • Jluis Moran

    Lo he probado en Chrome y Firefox pero nada que ver. A lo mejor mi proveedor DNS no reconoce la dirección. Están seguros de la noticia?

  • Pepinno

    Para detectarlo en Chrome, copiar la url y pegarla de nuevo, saldra desenmascarada.

    • Lisandro Pardo

      Google ya emitió una actualización para Chrome el miércoles pasado que corrige este problema.

  • Justiciero

    y que hay con otros explorer. el Microsoft edge¿

  • Alcahez

    Corrí a hacer la corrección en Firefox. Muchas gracias.