WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Punycode khiến các cuộc tấn công SMiShing dễ bị đánh lừa hơn
Các cuộc tấn công lừa đảo thực hiện qua các tin nhắn văn bản sử dụng kỹ thuật “Puny code” khiến các URL giả mạo được xem là hợp pháp ngày càng phổ biến.
SMiShing là kiểu lừa đảo qua tin nhắn SMS. Kẻ tấn công sử dụng tin nhắn văn bản nhằm lừa người dùng click vào đường dẫn độc hại hoặc yêu cầu nạn nhân cung cấp thông tin nhạy cảm.
Gần đây, tội phạm mạng tiến hành các chiến dịch SmiShing dùng Punycode (còn gọi là tấn công homograph – kiểu tấn công lợi dụng việc hình dáng trên URL giống nhau của một số ký tự khác nhau) để lừa người dùng tin rằng link họ truy cập là hợp lệ. Đặc biệt, kẻ tấn công thay thế một hoặc nhiều ký tự trong URL gần như tương tự nhưng hiển thị khác nhau trong Punycode.
Kiểu tấn công dùng Punycode không mới và nhằm vào người dùng phần mềm Office 365 dành cho doanh nghiệp, người dùng Chrome, Firefox, nhưng đang xuất hiện nhiều hơn trong các cuộc tấn công dùng tin nhắn văn bản.
Sử dụng Punycode là một phần trong chiến dịch SMiShing, lợi dụng việc người dùng điện thoại gần như không chú ý đến địa chỉ URL đã bị chỉnh sửa.
Trong một vụ việc gần đây, người dùng không nghi ngờ gì khi nhận được tin nhắn qua WhatsApp giả vờ là một đường dẫn đến một yêu cầu đặt vé máy bay miễn phí của Jet Airways. Dù trông giống như website của jetairways.com thật, nhưng đường dẫn này đang sử dụng tấn công homograph, dụ người dùng đến link xn-jetarways-ypb.com.
Nếu truy cập đường dẫn này trên iPhone, trình duyệt Safari sẽ tải đến trang web lừa đảo mà không hiển thị link đúng. Chrome trên Android thì ngược lại, cho về đường dẫn URL ở dạng Punny code.
Hãng an ninh Zscaler cho biết: “Trình duyệt web sẽ quyết định việc hiển thị theo định dạng IDN hay Punycode dựa trên các điều kiện như sự có mặt của các ký tự nhất định mà có thể giả mạo các ký hiệu như “.” hoặc “/”, xác định xem tất cả các ký tự có xuất phát cùng một ngôn ngữ hay không, nếu các ký tự thuộc cùng một tổ hợp hợp lệ hay bằng cách kiểm tra xem liệu tên miền có nằm trong danh sách tên miền cấp cao (TLD) được đánh dấu là whitelist hay không”.
Các nhà nghiên cứu quan sát các tên miền được sử dụng có phải vừa được đăng ký mới trong vòng hai tuần hay không. Họ cũng cho biết, sau khi được xem là trang web lừa đảo, nạn nhân được điều hướng đến một tên miền khác, newuewfarben[.]com, có thể dùng để phát tán mã độc.
Tấn công SMiShing đang gia tăng trong năm 2018 và các nhà phát triển trình duyệt web đang thực hiện các biện pháp bảo vệ nhằm chống lại các cuộc tấn công homograph, nhưng do các ký tự Punycode sử dụng được xem là hợp pháp nên rất khó khăn cho bên phát triển fix lỗi ngớ ngẩn này. Kẻ tấn công lợi dụng lỗi này để thực hiện các luật và tạo ra các homograph hiển thị dưới dạng các IDN mà bản chất là đường dẫn độc hại.
SMiShing là kiểu lừa đảo qua tin nhắn SMS. Kẻ tấn công sử dụng tin nhắn văn bản nhằm lừa người dùng click vào đường dẫn độc hại hoặc yêu cầu nạn nhân cung cấp thông tin nhạy cảm.
Gần đây, tội phạm mạng tiến hành các chiến dịch SmiShing dùng Punycode (còn gọi là tấn công homograph – kiểu tấn công lợi dụng việc hình dáng trên URL giống nhau của một số ký tự khác nhau) để lừa người dùng tin rằng link họ truy cập là hợp lệ. Đặc biệt, kẻ tấn công thay thế một hoặc nhiều ký tự trong URL gần như tương tự nhưng hiển thị khác nhau trong Punycode.
Kiểu tấn công dùng Punycode không mới và nhằm vào người dùng phần mềm Office 365 dành cho doanh nghiệp, người dùng Chrome, Firefox, nhưng đang xuất hiện nhiều hơn trong các cuộc tấn công dùng tin nhắn văn bản.
Sử dụng Punycode là một phần trong chiến dịch SMiShing, lợi dụng việc người dùng điện thoại gần như không chú ý đến địa chỉ URL đã bị chỉnh sửa.
Trong một vụ việc gần đây, người dùng không nghi ngờ gì khi nhận được tin nhắn qua WhatsApp giả vờ là một đường dẫn đến một yêu cầu đặt vé máy bay miễn phí của Jet Airways. Dù trông giống như website của jetairways.com thật, nhưng đường dẫn này đang sử dụng tấn công homograph, dụ người dùng đến link xn-jetarways-ypb.com.
Nếu truy cập đường dẫn này trên iPhone, trình duyệt Safari sẽ tải đến trang web lừa đảo mà không hiển thị link đúng. Chrome trên Android thì ngược lại, cho về đường dẫn URL ở dạng Punny code.
Hãng an ninh Zscaler cho biết: “Trình duyệt web sẽ quyết định việc hiển thị theo định dạng IDN hay Punycode dựa trên các điều kiện như sự có mặt của các ký tự nhất định mà có thể giả mạo các ký hiệu như “.” hoặc “/”, xác định xem tất cả các ký tự có xuất phát cùng một ngôn ngữ hay không, nếu các ký tự thuộc cùng một tổ hợp hợp lệ hay bằng cách kiểm tra xem liệu tên miền có nằm trong danh sách tên miền cấp cao (TLD) được đánh dấu là whitelist hay không”.
Các nhà nghiên cứu quan sát các tên miền được sử dụng có phải vừa được đăng ký mới trong vòng hai tuần hay không. Họ cũng cho biết, sau khi được xem là trang web lừa đảo, nạn nhân được điều hướng đến một tên miền khác, newuewfarben[.]com, có thể dùng để phát tán mã độc.
Tấn công SMiShing đang gia tăng trong năm 2018 và các nhà phát triển trình duyệt web đang thực hiện các biện pháp bảo vệ nhằm chống lại các cuộc tấn công homograph, nhưng do các ký tự Punycode sử dụng được xem là hợp pháp nên rất khó khăn cho bên phát triển fix lỗi ngớ ngẩn này. Kẻ tấn công lợi dụng lỗi này để thực hiện các luật và tạo ra các homograph hiển thị dưới dạng các IDN mà bản chất là đường dẫn độc hại.
Theo SecurityWeek