Proteggere il browser dai siti di phishing Unicode

Per trarre in inganno le vittime con il phishing e indurle a visitare un sito truffa creato ad hoc per carpire le credenziali, i cyberciminali possono servirsi anche dell'attacco omografico al nome di dominio internazionalizzato (IDN Homograph attack) che sfrutta l'impiego (nei link) di caratteri tipografici visivamente identici, ma a livello Unicode differenti in quanto corrispondenti a diverso e univoco numero di codifica.

Ad esempio in www.apple.com la "A" dell'alfabeto latino può essere sostituita con la "A" dell'alfabeto cirillico che in Unicode sono visivamente identici ma differenti a livello di numero di codifica (che della prima è U+0061, mentre della seconda è U+0430) e dunque utilizzabili per creare due domini diversi.

Infatti se entrambi i domini vengono letti piuttosto che con la codifica Unicode con la codifica Punycode, viene fuori che il primo effettivamente punta a www.apple.com ma il secondo porta invece al dominio truffaldino www.xn--pple-43d.com.

Il problema è che attualmente alcuni browser internet, fra i quali Mozilla Firefox (ma non Google Chrome, Opera, Edge), nella barra degli indirizzi internet visualizzano i nomi di dominio in codifica Unicode piuttosto che in codifica Punycode, dunque l'utente può cadere vittima di tali attacchi in quanto non ha modo di notare visivamente la differenza.

Ad esempio se visitando questo link, nella barra degli indirizzi internet compare https://www.аррӏе.com/ piuttosto che https://www.xn--80ak6aa92e.com/ allora significa che il proprio browser internet è vulnerabile.

Firefox finestra about config parametro show punycode

Per proteggersi in tal senso, gli utenti Firefox possono forzare la visualizzazione dei domini in Punycode proseguendo come segue:

Nella barra degli indirizzi digitare e inviare about:config;
Nella pagina che viene visualizzata cliccare il pulsante "Accetto i rischi";
Nella pagina che segue, nel campo di ricerca digitare puny;
Nei risultati di ricerca sottostanti fare un doppio clic di mouse sul parametro network.IDN_show_punycode per settare il suo valore da false a true (vedi esempio sopra in figura).

Finito. Adesso anche Firefox visualizzerà i nomi di dominio in Punycode cosicché l'utente possa subito vedere i reali caratteri di testo che compongono il nome di un dominio.

Tenere in considerazione che all'occorrenza, come protezione aggiuntiva, è disponibile l'estensione IDN Safe per Chrome, per Firefox e per Opera che in automatico blocca i nomi di dominio internazionalizzati per impedire di visitare siti web fasulli.

LEGGI ANCHE: Estensione anti-phishing per Chrome, Firefox e Opera e Come riconoscere le email di phishing per non cascare nella truffa

5 commenti

Anonimo mod

17 marzo 2018 22:04

Ciao, vorrei sapere se l'anteprima di un allegato (senza cliccare sull'allegato) può essere pericoloso; in pratica, se apro una mail che contiene un allegato infetto e visualizzo l'anteprima dell'allegato senza aprirlo puo' essere rischioso o no?
Grazie anticipatamente.

Rispondi

Vinnie mod

19 marzo 2018 09:55

Non dovrebbe, ma la certezza al 100% non c'è. Puoi anche optare per una sandbox:

https://www.guidami.info/2012/04/aprire-programmi-e-file-in-unarea.html

19 marzo 2018 15:47

Grazie per la risposta e per il consiglio. Il problema è che la mail ormai l'ho aperta senza cliccare l'allegato che però ho visualizzato in anteprima.
Ho dimenticato di dirti che il browser usato è Firefox (che tu piu' volte hai scritto essere sicuro) e la mail l'ho aperta tramite libero.it Inoltre sul PC ho installato Kaspersky Internet Security con protezione in tempo reale.
Posso stare tranquillo o devo fare qualche procedura di controllo per verificare che sia tutto a posto?
Grazie