¿Crees que solo con revisar la URL del sitio web o ver el certificado SSL del sitio se trata de un sitio “autentico”? deberías replantearte esta rutina, ya que se dio a conocer un nuevo fallo que permitía registrar nombres de dominio que son visualmente similares a los auténticos.
Si bien los ataques homográficos no son nada nuevo y los
navegadores web los expondrán reemplazando los caracteres Unicode con Punycode
en la barra de direcciones el conjunto de caracteres de extensión Unicode Latin
IPA no estaba ' t bloqueado.
Una nueva vulnerabilidad descubierta el investigador de
seguridad de Soluble, Matt Hamilton que afecta a Verisign y a varios servicios
SaaS, permitía registrar nombres de dominio .com y .net homógrafos (entre
otros) que podrían usarse en ataques internos, de phishing y de ingeniería
social contra organizaciones.
Antes de que se revelara esta falla en colaboración con la
firma de pruebas de seguridad Bishop Fox para los servicios Verisign y SaaS,
cualquiera podía registrar nombres de dominio homográficos en gTLD (.com, .net
y más) y subdominios dentro de algunas compañías SaaS utilizando homoglifos.
"Algunos de estos proveedores respondieron y participaron en un diálogo productivo, aunque otros no respondieron o no quisieron solucionar el problema", dice Hamilton.
En este momento, solo Verisign y Amazon (S3) han solucionado
este problema, con Verisign implementando cambios en las reglas de registro de
gTLD para bloquear el registro de dominios utilizando estos homoglifos.
La vulnerabilidad fue descubierta por Hamilton después de
intentar registrar dominios utilizando caracteres de homoglifos latinos (es
decir, homoglifos de extensión Unicode Latin IPA).
El abuso de esta vulnerabilidad de registro de dominio puede
conducir a ataques muy similares a los ataques de homógrafos IDN, presentando
el mismo rango de riesgos.
Los ataques con homógrafos ocurren cuando los actores de
amenazas registran nuevos dominios que se parecen mucho y a veces, son
idénticos a los de organizaciones y empresas conocidas y les asignan
certificados válidos.
Por lo general, se usan como parte de campañas de estafa que
se basan en estos dominios similares para redirigir a las posibles víctimas a
sitios que entregan malware o intentan robar sus credenciales.
Los nombres de dominio homográficos registrados al abusar de
esta vulnerabilidad probablemente se usaron como parte de campañas de
ingeniería social altamente dirigidas dirigidas a empleados de organizaciones
gubernamentales y privadas de alto perfil en lugar de campañas de phishing
comunes dirigidas a víctimas aleatorias.
Como parte del proceso de investigación, Hamilton también
registró los siguientes dominios homográficos utilizando caracteres de
homoglifo de extensión de IPA latino Unicode para mostrar el impacto que
podrían tener si se usan con fines maliciosos (algunos de ellos ya se han
transferido a los propietarios de los dominios no homográficos ):
- amɑzon.com
- Chɑse.com
- Sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡuardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑndroid.com
- netfɩix.com
0 comentarios:
Publicar un comentario