Google repareert een Chrome-fout die phishing gemakkelijk maakt

Bloomberg via Getty Images

Zoals we in het verleden hebben gezien, zorgt een sterk wachtwoord niet automatisch dat mensen online veilig zijn. Vaak is een speciaal opgestelde e-mail alles wat iemand nodig heeft om zijn digitale leven over te dragen aan een kwaadwillende derde partij. Hoewel e-maildiensten meer doen om phishing-e-mails te filteren voordat ze uw inbox bereiken, maakt een decennia-oude unicode-techniek het voor gebruikers moeilijk om te bepalen of een bestemming legitiem is. Gelukkig zijn Microsoft Edge, Internet Explorer en Safari immuun en Google is slechts enkele dagen verwijderd van het patchen van de fout.

Dankzij iets dat Punycode wordt genoemd, kunnen phishers nepdomeinen registreren die er identiek uitzien als een echte website. Neem deze proof-of-concept van software-engineer Xudong Zheng, waar apple.com je niet meeneemt naar een winkel die Macs, iPhones en iPads verkoopt. De echte website is eigenlijk https://www.xn--80ak6aa92e.com.



Het voorvoegsel xn-- vertelt browsers zoals Chrome dat het domein ASCII-compatibele codering gebruikt. Hiermee kunnen bedrijven en individuen uit landen met niet-traditionele alfabetten een domein registreren dat A-Z-tekens bevat, maar wordt weergegeven in hun lokale taal. Het domein 'xn--s7y.co' zou bijvoorbeeld verschijnen als '短.co' in Chinese browsers.

Het probleem werd voor het eerst gemeld aan Google en Mozilla op 20 januari en Google heeft een fix uitgegeven in Chrome 59. Het is momenteel live in de Canary (geavanceerde bètaversie) maar de zoekgigant zal het waarschijnlijk binnenkort beschikbaar maken voor alle Chrome-gebruikers.

Firefox-gebruikers moeten daarentegen mogelijk het heft in eigen handen nemen. Mozilla is er nog niet uit of het een speciale patch zal implementeren. Voorlopig kunnen gebruikers about:config in de adresbalk steken en het kenmerk network.IDN_show_punycode wijzigen in true. Dat stelt Firefox in staat om internationale domeinen in hun Punycode-vorm weer te geven, waardoor het gemakkelijker wordt om te detecteren of een website nep is.

Aanbevolen verhalen

De app 'Tinder voor BFF's' is logischer dan je zou denken

Vind de Thelma voor je Louise met de 'Tinder voor BFF's'.

De definitieve lijst met paaseieren van Google Zoeken

Ontwikkelaars houden van nerdy paaseieren. We hebben de beste van Google verzameld, zodat u dat niet hoeft te doen.

Google brengt virtual reality-ondersteuning naar de Chrome-browser

WebVR-inhoud is nu beschikbaar in Chrome, hoewel je een Daydream VR nodig hebt om het volledige effect te krijgen.

Rapport: Beveiligingsfout laat hackers snuffelen op 76 iPhone-apps

Alleen het verzenden van gevoelige gegevens via een mobiele verbinding zou uw risico moeten verminderen, aldus een beveiligingsexpert.

Vraag HTG: Windows Always on Top, Bibliotheken toevoegen aan het Startmenu en de IE User Agent repareren

Een keer per week duiken we in onze reader-mailbag en beantwoorden we drie van uw prangende technische vragen. Deze week bekijken we hoe u vensters altijd bovenaan kunt houden, aangepaste bibliotheken aan het Start-menu kunt toevoegen en hoe u een corrupte IE User Agent-vermelding kunt herstellen.