Bezpečnost | Doména | Phishing

Není apple.com jako apple.com. Specialista ukázal, jakou hrůzu může způsobit IDN phishing

Není apple.com jako apple.com. Specialista ukázal, jakou hrůzu může způsobit IDN phishing

Klasický webový phishing spoléhá na nepozornost surfaře a láká třeba na falešné webové bankovnictví známé banky, přičemž web používá velmi podobnou doménu, takže si změny jednoho znaménka mnozí nemusí všimnout.

Jenže vedle tohoto klasického phishingu tu máme ještě riziko IDN phishingu, který používá v podstatě libovolné znaky sady Unicode. A to je problém, mnohé vizuálně identické znaky nad rámec základní ASCII tabulky totiž mohou způsobit katastrofu. Zvláště tehdy, pokud na tuto potenciální záměnu neupozorní sám prohlížeč.

Hacker News píše o jednom takovém experimentu jistého čínského bezpečnostního specialisty, který demonstruje potenciál IDN phishingu na doméně apple.com.

Klepněte pro větší obrázek
Ne, nikdo nehacknul web Applu, toto totiž není doména apple.com
Klepněte pro větší obrázek
A pro srovnání tatáž adresa v prohlížeči Edge, který korektně označil doménu jako IDN (ikona speciálních abeced při pravém okraji adresního řádku a doménu převedl na zástupné znaky do klasického ASCII formátu)

Doména apple.com patří Applu, zkuste ale ve Firefoxu a Chromu navštívit tuto adresu. Na první pohled se zdá, že je v adresním řádku adresa apple.com, ve skutečnosti se však jedná o vizuálně identické nicméně odlišné znaky Unicode. Firefox a Chrome přitom neupozorní, že se jedná o doménu, která používá znaky Unicode, takže odhalit, že se vlastně vůbec nejedná o apple.com, ale o xn--80ak6aa92e.com, jak lze IDN znaky přepsat do základní ASCII latiny, je na první pohled prakticky nemožné.

Lze předpokládat, že výrobci největších prohlížečů tuto potenciální bezpečnostní díru zalátají, do té doby se ale mějme na pozoru. Zároveň je to argument pro ty, kteří se ostře staví proti zavádění IDN domén v Česku.

Diskuze (13) Další článek: Uber nesmí nabízet služby v Brně kvůli předběžnému opatření soudu

Témata článku: Apple, Web, Chrome, Bezpečnost, Internet, Edge, Firefox, Doména, Phishing, Unicode, COM, Nen, Bankovnictví, ASCII, Webový specialista, Prohlížeč, Libovolný znak, Adresní řádek, Podobná doména, ASCII formát, Česká republika, Pravý okraj, První pohled, Apple.com, Specialista


Určitě si přečtěte

Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery

Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery

** Seznam nám prozradil detaily k jeho nové platformě SCIF ** V rámci jednoho privátního cloudu sjednocuje většinu služeb ** Vedle softwaru vyvíjí i vlastní hardware

Karel Javůrek | 14

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 39

Jeff Bezos: Amazon zbankrotuje. Jednou

Jeff Bezos: Amazon zbankrotuje. Jednou

** Šéf Amazonu varoval zaměstnance, že ani Amazon nebude existovat navždy ** Nastínil jasné mechanismy, jak udržet Amazon na trhu co nejdéle ** Co může Amazon v budoucnu ohrozit?

Karel Javůrek | 33



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů