Chrome blokkeert slimme URL-phishingmethode

Google heeft deze week zijn Chrome-webbrowser bijgewerkt om zich te verdedigen tegen een Unicode-manipulatietechniek die phishing-oplichters kunnen gebruiken om internetsurfers te misleiden om kwaadaardige websites te bezoeken.

Door een URL te registreren die bestaat uit tekens uit niet-Latijnse alfabetten, kunnen oplichters deze er bijna identiek uit laten zien als de website die ze proberen te imiteren, zoals beveiligingsblogger Xudong Zheng deze week liet zien. Zheng registreerde de domeinnaam 'xn--pple-43d.com', een Unicode-formule die bekend staat als 'punycode' en die in Chrome, Firefox en andere browsers wordt weergegeven als vrijwel identiek aan 'www.apple.com'.



De techniek staat bekend als een homograafaanval en het gebruik ervan bij phishing-scams op websites is theoretisch mogelijk sinds 2009, toen de Internet Corporation for Assigned Names and Numbers de toevoeging van domeinnamen op het hoogste niveau met niet-Latijnse tekensets goedkeurde. Het kwijnde weg in relatieve onbekendheid tot de afgelopen maanden, toen beveiligingsonderzoekers en bugjagers het begonnen te bespreken op Reddit en verschillende ontwikkelaarsforums.

Verwant

  • Val niet voor deze geavanceerde Gmail-phishing-zwendel Val niet voor deze geavanceerde Gmail-phishing-zwendel

De toegenomen aandacht zorgde ervoor dat Google de manier veranderde waarop de Chrome-browser URL's weergeeft. Vanaf Chrome-versie 58 worden URL's met Cyrillische tekens alleen als tekst weergegeven als het domein ook niet-Latijnse tekens bevat. Als een gebruiker probeert een website te laden van een domein als '.com' of '.net' met een cyrillisch teken in de URL, blokkeert de browser deze als een gevaarlijke site.

Het is onduidelijk of Microsoft of Firefox-maker Mozilla ook van plan zijn soortgelijke oplossingen te implementeren, hoewel Zheng opmerkte dat het voor Firefox-gebruikers mogelijk is om hun eigen blokkering te implementeren door de configuratiecode van hun browser te wijzigen. Typ hiervoor 'about:config' in de adresbalk en stel de optie 'network.IDN_show_punycode' in op 'true'. Microsoft en Mozilla hebben niet onmiddellijk gereageerd op verzoeken om commentaar.

Andere minder gebruikte browsers, waaronder Apple's Safari, worden volgens Zheng niet getroffen door de kwetsbaarheid.

Aanbevolen verhalen

Google repareert een Chrome-fout die phishing gemakkelijk maakt

Oplichters hebben nietsvermoedende gebruikers doorverwezen naar nepdomeinen die er identiek uitzien als het echte werk.

FCC blokkeert regels zodat u kunt bepalen hoe ISP's uw gegevens gebruiken

UPDATE: Nieuwe FCC-voorzitter Ajit Pai hield zich aan de regels, met het argument dat de FTC het zou moeten afhandelen.

Kunnen derden de volledige URL lezen bij het browsen via HTTPS?

De vraag- en antwoordsessie van vandaag komt tot ons met dank aan SuperUser - een onderafdeling van Stack Exchange, een community-gedreven groep van Q&A-websites.