Dette phishing-angrepet er nesten umulig å oppdage

2017-05-30

Noen tilsynelatende autentiske nettadresser er ikke hva de utgir seg for, og ikke alle nettlesere tar problemet på alvor.

Nils Roald
Nils Roald Advanced Threat North Sales Leader, Cisco

Her er en utfordring til deg:

Du klikker på en lenke i eposten din, og rutes til nettsiden https: //аррӏе.com. Nettleseren din viser det grønne hengelåsikonet, og bekrefter at det er en sikker tilkobling. Det står også Secure ved siden av for ekstra trygghet. Likevel, du har blitt utsatt for et vellykket phishing-angrep. Vet du hvordan?

Svaret ligger i nettadressen. Det kan se ut som om det står «apple», men det er egentlig en rekke med kyrilliske tegn: A-Er-Er-Palochka-Ie. Sikkerhetssertifikatet er ekte nok, men alt det bekrefter er at du har en sikker forbindelse til аррӏе.com. Det forteller ikke om du er koblet til et legitimt nettsted eller ikke.

 

Konseptet ble vist av sikkerhetskonsulenten, Xudong Zheng tidligere i år. Han ønsket å vise problemet med hvordan domenenavnene kan registreres og vises. I lang tid har domenenavn bare blitt registrert med latinske tegn, uten spesialtegn som blant annet Æ, Ø og Å, kyrilliske og kinesiske tegn. Men siden 2003 har det faktisk vært mulig å skrive dem med andre alfabeter også. Det er nyttig hvis du vil registrere et domenenavn med kinesiske tegn eller arabisk skrift, eller til og med bare korrekt stavet fransk eller islandsk. Alt som kan representeres med Unicode-standarden kan registreres, selv emojis. Dette har åpnet et hav av muligheter for feildirigering, som hackere kan utnytte, ved å registrere domener med karakterer fra andre alfabeter som ligner på det latinske.

Fra et sikkerhetsperspektiv kan Unicode-domener være problematisk fordi mange Unicodetegn er vanskelig å skille fra vanlige ASCII-tegn. Det er mulig å registrere domener som for eksempel 'xn--pple-43d.com', som tilsvarer 'аpple.com'. Det er ikke åpenbart ved første øyekast, men 'аpple.com' bruker den kyrilliske 'a' (U + 0430) i stedet for ASCII'en '(U + 0041). Dette er kjent som et homografisk angrep (visuelt forfalskningsangrep). Xudong Zheng

Enkelte nettlesere vil avsløre slike bedrag og vise det tvilsomme domenenavnet, andre klarer ikke å avsløre trikset og viser i stedet det kyrilliske domenenavnet.

Disse svakhetene med enkelte nettlesere er nå på vei til å bli rettet opp fra produsentenes side. Problemet er at det stadig vil dukke opp tilsvarende sårbarheter i nettlesere og andre applikasjoner. Phishing ved å få offeret til å ende opp på ondsinnede domener er en av våre største utfordringer. Krypterende ransomware, stjålne sensitive data og lignende er typiske negative effekter av et phishing-angrep.

Cisco Umbrella – første forsvarslinje

Alle bruker DNS (Domain Name Server) når vi beveger oss rundt på internett. Cisco Umbrella legger en sikkerhetsfunksjon på DNS-tjenesten slik at vi kan sjekke at nettstedet du ønsker å aksessere er til å stole på. Med dette oppnår enn å stanse truslene så langt unna brukerne som mulig. Cisco Umbrella er kanskje det mest effektive forsvaret mot web-baserte trusler og sjekker både IP-adresse og URL-navn når du skal besøke en nettside.