Vulnerabilidade no Google Chrome e Firefox expõe a um tipo de Phishing muito difícil de ser detectado

Phishing-Chrome-Firefox-linuxdescomplicado

Um pesquisador chinês da infosec descobriu, recentemente, um novo ataque do tipo “phishing” sendo um dos mais difíceis de detectar. Ele pode ser usado para enganar até mesmo os usuários mais cuidadosos na Internet. Ele alertou que os hackers podem usar uma vulnerabilidade conhecida nos navegadores Chrome e Firefox para exibir seus falsos nomes de domínio como sites de serviços legítimos, como Apple, Google ou Amazon para roubar credenciais de login ou financeiras e outras informações confidenciais de usuários.

Phishing

Phishing é uma técnica que cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails com links maliciosos ou direcionando você a websites falsos. Mensagens de Phishing parecem ser enviados por organizações legítimas como como Apple, Google, Amazon, uma agência do governo ou seu banco; entretanto, elas são falsas. Em 2014, estimou-se que o seu impacto econômico mundial foi de 5 mil milhões de dólares.

Exemplo Phishing

Exemplo de Phishing na Internet

Através de e-mails, por exemplo, essas mensagens podem vir disfarçadas por atualizações, validação ou confirmação de informações da sua conta, sempre dizendo que houve algum problema. Caso clique nos links, você pode ser redirecionado a um site falso e induzido a conceder informações sobre a sua conta, que podem resultar em roubos de identidade. Assim, essa técnica está inserida no conjunto de ações adotadas em Engenharia Social – cujo o objetivo é enganar um usuário, e explorar vulnerabilidades na segurança dos softwares e sistemas usados.

Confesso, antes de saber isso, sempre soube que a “melhor defesa” contra esses ataques de phishing é SEMPRE verificar a barra de endereços após a página ser carregada e confirmar se ela estar sendo trafegada por uma conexão HTTPS válida, no mínimo. Contudo, hoje (por enquanto) isso não é mais suficiente!

Verifique AQUI, se estiver usando o Chrome ou Firefox, e tire a prova :/

* Se o seu navegador estiver exibindo “apple.com” na barra de endereços protegida com SSL; e o conteúdo da página estiver vindo de outro servidor (não se preocupe, é apenas um servidor de amostra mantido para demonstrar a falha), seu navegador está vulnerável ao ataque “ataques de homógrafos“.

Phishing de domínios com caracteres especiais (IDNs)

Esse tipo de ataque é conhecido desde 2001, mas os navegadores lutam para evitar todas as formas para usá-lo. É um tipo de ataque spoofing onde um endereço de site parece legítimo, mas não é… Em resumo, um caractere ou conjunto de caracteres são substituídos, intencionalmente, por caracteres especiais do tipo Unicode.

Muitos caracteres Unicode, que representam alfabetos como o grego, cirílico e armênio em nomes de domínio internacionalizados, parecem o mesmo que letras latinas para o olho casual, mas são tratados de forma diferente por computadores com o endereço web completamente diferente. Essa representação é conhecida como Punycode.

translate

Do ponto de vista da segurança, domínios IDNs podem ser problemáticos porque muitos caracteres Unicode são difíceis de distinguir dos caracteres ASCII comuns. Por isso, no exemplo anterior, é possível registrar domínios como “xn--pple-43d.com”, que é equivalente a “аpple.com”. Pode não ser óbvio à primeira vista, mas “аpple.com” usa o cirílico “а” (U + 0430) ao invés do ASCII “a” (U + 0041). Isso é conhecido como “ataques de homógrafos”.

Os navegadores modernos possuem mecanismos para limitar os “ataques de homógrafos” de IDNs. Contudo, o mecanismo de proteção de homógrafos do Chrome (e do Firefox), infelizmente, falham se todos os caracteres forem substituídos por um caractere semelhante de uma única língua estrangeira. O domínio “аррӏе.com”, registrado como “xn--80ak6aa92e.com”, ignora o filtro usando apenas caracteres cirílicos.

Você pôde verificar isso na prova de conceito usando o Chrome ou o Firefox. Então, torna-se (quase) impossível identificar o site como fraudulento sem inspecionar cuidadosamente o URL do site ou o certificado SSL :(

Vulnerabilidade no Google Chrome e Firefox

Este bug foi comunicado, pelo pesquisador chinês, ao Chrome e Firefox no dia 20 de janeiro de 2017 e foi corrigido no tronco do Chrome 59 (atualmente na versão Canary) em 24 de março. A equipe do Chrome decidiu incluir a correção no Chrome 58, que deve estar disponível por volta de 25 de abril, próximo. O problema ainda não foi resolvido no Firefox!

Phishing-Unicode-Domains

Enquanto isso, milhões de usuários da Internet estão em risco deste sofisticado ataque de phishing, (quase) impossível de detectar :(

Correções (somente) no Firefox

Os usuários do Firefox podem diminuir sua exposição a esse bug indo nas configurações do navegador.

1. Digite about:config na barra de endereços e pressione ENTER.
2. Digite Punycode na barra de pesquisa.
3. As configurações do navegador mostrarão o parâmetro intitulado: network.IDN_show_punycode, clique duas vezes ou clique com o botão direito do mouse e selecione para alterar o valor de false para true;

Isto forçará o Firefox a sempre exibir domínios IDN em seu formulário Punycode, tornando possível identificar domínios maliciosos:

a502b06561524ec740ec6e8cb11fbd931f6fb219f42a0be6de275f97d44a514a

Infelizmente, não há configuração semelhante disponível no Chrome para desativar manualmente as conversões de URL Punycode. Assim, os usuários do Chrome têm que esperar pelas próximas semanas para receber o patch de segurança na versão Stable 58 (previso 25 de abril de 2017). Ou digitar a URL manualmente para evitar esse problema 😉

ATUALIZAÇÃO – 20/04/17

Correção no Chrome

O Google lançou a versão estável 58 com a correção para esse problema (CVE-2017-5060). Atualize-o imediatamente!


Via | TheHackerNews

Ricardo Ferreira

Ricardo Ferreira

Fundador do Linux Descomplicado - LD.

Sempre em busca de novos conhecimentos, preza por conteúdo de qualidade e auto-explicativo. Por isso, persiste em criar um site com artigos relevantes para todos os leitores do Linux Descomplicado!
Ricardo Ferreira

Comentários

comentários

Curso Docker - Introdução a administração de containers

Docker é uma plataforma para desenvolvimento, provisionamento e execução de aplicações usando tecnologia de containers.

Se você é um desenvolvedor ou sysadmin você poderá ter diversas vantagens usando a plataforma Docker:
  • Desenvolve uma vez...executa em qualquer lugar;
  • Sem preocupações (dependências e/ou pacotes)... foco no desenvolvimento;
  • Elimina inconsistências na entrega das aplicações e/ou serviços;;
  • Evita o “localhost funciona”;
  • Promove uma infraestrutura escalável;

Este curso é introdutório a plataforma Docker e lhe dará melhor compreensão sobre as vantagens da ferramenta.


Inscreva-se agora »

VOCÊ TAMBÉM PODERÁ LER...