skip to main | skip to sidebar
22 commenti

Che differenza c’è fra www.аpple.com e www.apple.com? Tanta

Graham Cluley segnala un bell’esperimento: riuscite a vedere cosa c’è che non va in аpple.com? Visivamente sembra a posto, ma la A è in cirillico (U+0430) e non è la A standard (U+0061). A occhio non sembra esserci differenza, ma a livello informatico ce n’è tanta.

I criminali informatici lo sanno e sfruttano questa distinzione quasi invisibile per creare siti identici a quelli originali i cui nomi sono visivamente identici a quelli originali. Questa tecnica si chiama IDN homograph attack o attacco omografico (IDN sta per  internationalized domain name, ossia “nome di dominio internazionalizzato”), e consente di avere un sito truffaldino che si chiama xn–pple-43d.com ma che viene visualizzato come аpple.com.

Soluzione: IDN Safe, per Chrome, Firefox e Opera: un add-on che vi avvisa quando visitate un sito che usa un nome di dominio internazionalizzato e ne blocca il caricamento.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
è una guerra nella quale la political correctness, alla base dell'introduzione dell'internazionalizzazione dei nomi di dominio, ce la ritroviamo dietro che spinge.
Non ho capito come funzione l'attacco: ho provato ad andare su http://www.wіkіреdіа.org (non e' l'originle ma e' alterato con la a in cirillico) e sulla barra l'url appare decodificato, quindi si capisce che qualcosa non va. Dov'e' l'inghippo?
Non ci dovrebbe essere un problema con https?

Intendo dire il sito apple scritto in cirillico non dovrebbe un errore su https?

Dovrebbe almeno apparire che il sito non è gestito da Apple (o Microsoft o dalla banca X)
Ottima segnalazione, estensione installata, testata e funziona, grazie mille!
@Guastulfo (Giuseppe)
Crei (in Cina) una scietà, la chiami Apple
Compri un certificato da 10€
(Alzi la mano chi prima di visitare un sito controlla i dettagli sul proprietario del certificato)
Il problema, a mio avviso è che viviamo in un villaggio globale senza regole globali in cui chi organizza queste truffe la fa franca.
I siti web ospitati in paesi canaglia dovrebbero essere oscurati.
Sembra che Google, con Chrome (build 64.0.3282.186), sia già corsa ai ripari, mostrando nella barra inferiore del browser il link in formato Punycode (https://xn–pple-43d.com).

"Sembra che Google, con Chrome (build 64.0.3282.186), sia già corsa ai ripari, mostrando nella barra inferiore del browser il link in formato Punycode (https://xn–pple-43d.com)."

Io anche ho questa versione, facendo copia-incolla nella barra indirizzi dei due apparentemente identici URL presi dal titolo del post, quello farlocco chrome lo trasforma in "http://www.xn--pple-43d.com/" e non lo apre con motivo "ERR_NAME_NOT_RESOLVED".
Invece l'estensione segnalata lo blocca direttamente lei e lo segnala con l'icona che diventa rossa. Probabilmente con chrome ultima versione il risultato è analogo, ma una ulteriore sentinella non mi pare una cosa malvagia.
Pffft, pivelli, questi metodi li usavo per eludere i filtri di censura nei vari forum, ormai un ventennio fa!
Ciao

Mi è capitato recentemente un caso simile su whatsapp però qui sono stati leggermente meno furbi.
Air France offre 2 billets gratuits pour célébrer son 85e anniversaire. Obtenez vos billets gratuits à: http://www.airfrạnce.com/ .
La a ha un accento sotto che però risulta quasi invisibile dato la sottolineatura del link.

Pare proprio che questa sia la nuova frontiera dei cattivi.

Ciao, Moreno
Ciao

Mi è capitato recentemente un caso simile su whatsapp però qui sono stati leggermente meno furbi.
Air France offre 2 billets gratuits pour célébrer son 85e anniversaire. Obtenez vos billets gratuits à: http://www.airfrạnce.com/ .
La a ha un accento sotto che però risulta quasi invisibile dato la sottolineatura del link.

Pare proprio che questa sia la nuova frontiera dei cattivi.

Ciao, Moreno
Grazie per la dritta, il vettore di attacco è in giro da un po' ma finora non avevo cercato contromisure; l'addon per il browser è l'uovo di colombo.
@Mauro
Crei (in Cina) una scietà, la chiami Apple
Compri un certificato da 10€


Grazie per la dritta non pensavo che questo si potesse fare.

(Alzi la mano chi prima di visitare un sito controlla i dettagli sul proprietario del certificato)

Ehm... Io.
Quando maneggi soldi non tuoi diventi paranoico. Infatti utilizzo password forti e non uso software come KeePass ma un file Excel che prima zippavo con cifratura AES, mentre ora lo conservo in due chiavette USB con crittografia hardware ma senza zipparlo, e spero di non aver fatto la cosa sbagliata.

Se mi fregassero le credenziali e mi svuotassro il conto passerei "dei brutti quarti d'ora" (eufemismo), specialmente se non riuscissi a dimostrare che ho usato tutte le precauzioni di cui sono capace per evitare pericoli del genere.

Per questo motivo ho chiesto e ottenuto di avere credenziali differenti da quelle del mio capo. Almeno così risponderò solo per i guai che posso combinare io.
"Facciamo i domini con qualunque carattere unicode. Cosa potrà mai andare storto?" E io pensai: ma che problema avete che l'ascii non vi basta più?.
"Facciamo i domini con qualunque estensione possibile immaginabile". E io pensai: aridaje n'altra cazzata.
marcello@MagenTyss-MacBook-Air ~ $ hexdump ~/apple1.txt
0000000 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 0a
000000e
marcello@MagenTyss-MacBook-Air ~ $ hexdump ~/apple2.txt
0000000 77 77 77 2e d0 b0 70 70 6c 65 2e 63 6f 6d 0a
000000f
Anche Firefox li decodifica già da tempo; per esempio, il wikipedia farlocco del secondo commento, nella barra degli indirizzi lo fa diventare: http://www.xn--wkd-8cdx9d7hbd.org/
Ok ma perché si è decisa sta cosa?
Direi che la notizia non è del tutto nuova.. se ne parla sulla rete da almeno aprile del 2017
Grazie, sia per la dritta che per aver indicato un valido rimedio.
@Guastulfo, sarei interessato a capire perche' sei passato da KepassX ad Excel per memorizzare le password. Quest'ultimo e' closed source e potrebbe teoricamente "E.T. telefono casa"-are.
KeepassX e' opensource e non ha alcun fronzolo a parte la funzionalita' per la quale e' scritto.
Inoltre (come sai certamente) ha un generatore di password eccellente.
@Stefano
Anche Iron (fork di Chrome) build 60.0.3150.1 se tento di aprire il link mi mostra l'URL in Punycode.
@Lupo
Perché sono stupidi. Esattamente come quelli che hanno provato i sistemi di sicurezza di Chernobyl.
Ma tutte queste estensioni non aumentano la superficie di attacco di una sessione di navigazione?
Non è meglio stare attenti a cosa si visita, piuttosto che avere estensioni (magari anche di autori affidabili, per carità) attive anche quando visiti (per esempio) il sito della tua banca?