Um pesquisador chinês da infosec descobriu, recentemente, um novo ataque do tipo “phishing” sendo um dos mais difíceis de detectar. Ele pode ser usado para enganar até mesmo os usuários mais cuidadosos na Internet. Ele alertou que os hackers podem usar uma vulnerabilidade conhecida nos navegadores Chrome e Firefox para exibir seus falsos nomes de domínio como sites de serviços legítimos, como Apple, Google ou Amazon para roubar credenciais de login ou financeiras e outras informações confidenciais de usuários.
Phishing
Phishing é uma técnica que cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails com links maliciosos ou direcionando você a websites falsos. Mensagens de Phishing parecem ser enviados por organizações legítimas como como Apple, Google, Amazon, uma agência do governo ou seu banco; entretanto, elas são falsas. Em 2014, estimou-se que o seu impacto econômico mundial foi de 5 mil milhões de dólares.
Através de e-mails, por exemplo, essas mensagens podem vir disfarçadas por atualizações, validação ou confirmação de informações da sua conta, sempre dizendo que houve algum problema. Caso clique nos links, você pode ser redirecionado a um site falso e induzido a conceder informações sobre a sua conta, que podem resultar em roubos de identidade. Assim, essa técnica está inserida no conjunto de ações adotadas em Engenharia Social – cujo o objetivo é enganar um usuário, e explorar vulnerabilidades na segurança dos softwares e sistemas usados.
Confesso, antes de saber isso, sempre soube que a “melhor defesa” contra esses ataques de phishing é SEMPRE verificar a barra de endereços após a página ser carregada e confirmar se ela estar sendo trafegada por uma conexão HTTPS válida, no mínimo. Contudo, hoje (por enquanto) isso não é mais suficiente!
Verifique AQUI, se estiver usando o Chrome ou Firefox, e tire a prova :/
Os melhores navegadores web para Linux
* Se o seu navegador estiver exibindo “apple.com” na barra de endereços protegida com SSL; e o conteúdo da página estiver vindo de outro servidor (não se preocupe, é apenas um servidor de amostra mantido para demonstrar a falha), seu navegador está vulnerável ao ataque “ataques de homógrafos“.
Phishing de domínios com caracteres especiais (IDNs)
Esse tipo de ataque é conhecido desde 2001, mas os navegadores lutam para evitar todas as formas para usá-lo. É um tipo de ataque spoofing onde um endereço de site parece legítimo, mas não é… Em resumo, um caractere ou conjunto de caracteres são substituídos, intencionalmente, por caracteres especiais do tipo Unicode.
Muitos caracteres Unicode, que representam alfabetos como o grego, cirílico e armênio em nomes de domínio internacionalizados, parecem o mesmo que letras latinas para o olho casual, mas são tratados de forma diferente por computadores com o endereço web completamente diferente. Essa representação é conhecida como Punycode.
Do ponto de vista da segurança, domínios IDNs podem ser problemáticos porque muitos caracteres Unicode são difíceis de distinguir dos caracteres ASCII comuns. Por isso, no exemplo anterior, é possível registrar domínios como “xn--pple-43d.com”, que é equivalente a “аpple.com”. Pode não ser óbvio à primeira vista, mas “аpple.com” usa o cirílico “а” (U + 0430) ao invés do ASCII “a” (U + 0041). Isso é conhecido como “ataques de homógrafos”.
Os navegadores modernos possuem mecanismos para limitar os “ataques de homógrafos” de IDNs. Contudo, o mecanismo de proteção de homógrafos do Chrome (e do Firefox), infelizmente, falham se todos os caracteres forem substituídos por um caractere semelhante de uma única língua estrangeira. O domínio “аррӏе.com”, registrado como “xn--80ak6aa92e.com”, ignora o filtro usando apenas caracteres cirílicos.
Você pôde verificar isso na prova de conceito usando o Chrome ou o Firefox. Então, torna-se (quase) impossível identificar o site como fraudulento sem inspecionar cuidadosamente o URL do site ou o certificado SSL 🙁
Vulnerabilidade no Google Chrome e Firefox
Este bug foi comunicado, pelo pesquisador chinês, ao Chrome e Firefox no dia 20 de janeiro de 2017 e foi corrigido no tronco do Chrome 59 (atualmente na versão Canary) em 24 de março. A equipe do Chrome decidiu incluir a correção no Chrome 58, que deve estar disponível por volta de 25 de abril, próximo. O problema ainda não foi resolvido no Firefox!
Enquanto isso, milhões de usuários da Internet estão em risco deste sofisticado ataque de phishing, (quase) impossível de detectar 🙁
Por quê usuários Linux devem se preocupar com riscos em segurança e o que pode ser feito para se proteger
Passo a passo completo para manter um sistema Linux seguro
Correções (somente) no Firefox
Os usuários do Firefox podem diminuir sua exposição a esse bug indo nas configurações do navegador.
1. Digite about:config na barra de endereços e pressione ENTER.
2. Digite Punycode na barra de pesquisa.
3. As configurações do navegador mostrarão o parâmetro intitulado: network.IDN_show_punycode, clique duas vezes ou clique com o botão direito do mouse e selecione para alterar o valor de false para true;
Isto forçará o Firefox a sempre exibir domínios IDN em seu formulário Punycode, tornando possível identificar domínios maliciosos:
Infelizmente, não há configuração semelhante disponível no Chrome para desativar manualmente as conversões de URL Punycode. Assim, os usuários do Chrome têm que esperar pelas próximas semanas para receber o patch de segurança na versão Stable 58 (previso 25 de abril de 2017). Ou digitar a URL manualmente para evitar esse problema 😉
Firefox 52 desativa suporte a plugins NPAPI como Silverlight, Acrobat e Java e tem melhor desempenho de aplicações 3D
ATUALIZAÇÃO – 20/04/17
Correção no Chrome
O Google lançou a versão estável 58 com a correção para esse problema (CVE-2017-5060). Atualize-o imediatamente!
Via | TheHackerNews
Aqui o “apple.com” falso aparece como “appIe.com” (eu aqui dizendo no VISUAL), no caso o “l” como se fosse o “I” no formato correto*. Mas feito os ajustes para aumentar a segurança quando olhar o endereço URL e ver direitinho.
* Já vi muito em textos com palavras desconhecidas (mas não em idioma com outro cjto caracteres) ou códigos onde há o grave problema do “l” e “I” terem o mesmo formato. Isso deveria ser até INDEPENDENTE se outra fonte misturada. Estilos de fontes nunca deveria ser permitido ambiguidades.
Parabéns pelo artigo!