Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nuevas técnicas de Phishing usando caracteres Unicode




Descripción de un caso de intento de fraude tipo phishing apoyado en URL con unicode y emisor de certificados gratuitos (Let's Encrypt). El intento del protagonista de recuperar su smartphone robado estuvo a punto de salirle muy caro ya que casi pica ante un fraude bastante bien elaborado.







Le habían robado su flamante Iphone 6S. Acto seguido, con el móvil de su amiga Cristina, buscaron por Internet información sobre cómo localizar un dispositivo robado iPhone comprobando que con el modo “Perdido” que ofrece iCloud, podrían localizar el móvil (en caso de estar encendido), bloquearlo de forma remota y también enviar un mensaje personalizado al mismo para informar al ladrón o la persona que lo encontrase, que el teléfono estaba bloqueado y que procediesen a la devolución siguiendo las indicaciones del mensaje.


Así pues, Asun envió un mensaje a su móvil con intención de que se lo devolvieran:


Los usurpadores del móvil, tras ver el mensaje, y ser conocedores de esta opción de recuperación del dispositivo que facilita iCloud, pusieron en marcha su plan B para robar las credenciales de dicho servicio a Asun y así hacerse con el control del teléfono.

Para ello hicieron uso de un servicio mediante el cual se puede proceder al envío de un SMS o email suplantando a una entidad original, en este caso Apple, para solicitar las credenciales originales de acceso al servicio de iCloud de Asun.


 Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS:


Asun pensó que se trataba del servicio de localización de su teléfono, por lo que nerviosa por saber su ubicación accedió al enlace. A continuación se abrió una página con la web de iCloud… o eso parecía aparentemente.

El ataque homográfico de Unicode 


Una de las cosas que Asun sabía es que cualquier web en las que hubiera que introducir credenciales, debía contar con certificado de seguridad y empezar por https. En esta ocasión, a simple vista así era: aparecía candado verde en el navegador y la url comenzaba por HTTPS. Sin embargo, rápidamente se dio cuenta que algo en la dirección no estaba bien. Aunque aparentemente parecía ser la web de iCloud, en la URL había un puntito que le parecía cuanto menos sospechoso.


Además, al pinchar sobre el candado verde para comprobar el certificado, detectó que la URL no era la legítima de iCloud, sino otra que nada tenía que ver.


¿Cómo han podido hacer esto los ladrones?

Han creado una página fraudulenta de tipo phishing en el que la URL en lugar de ser letras del código ASCII, contiene caracteres de tipo cirílicos, que a simple vista tienen el mismo aspecto, pero sin embargo tiene diferente representación Unicode. A este tipo de ataque también se le conoce como phishing homográfico o ataque de phishing mediante el uso de caracteres Unicode.

Por otro lado, para dotar de mayor credibilidad al fraude, han utilizado una autoridad certificadora que expide certificados gratuitos (Let’s Encrypt). De esta forma, el usuario ve el candado verde y el https en la URL.
 
Al mismo tiempo que Asun se percataba del engaño, los ladrones del móvil pensando que Asun les enviaría sus credenciales con el engaño dejaron encendido el dispositivo, de tal forma que Asun pudo ver la localización exacta de su teléfono. Denunció lo sucedido y con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado, pudieron acudir al lugar donde la señal se encontraba activa y localizar a los ladrones y recuperar el teléfono.


Phishing con caracteres Unicode


Se ha confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos, representan un problema que los navegadores intentan evitar, pero se ha descubierto una forma para evitar los controles actuales. Se puede visitar https://www.аррӏе.com/ para entender las implicaciones.

Con el uso de Punycode se pueden representar caracteres Unicode mediante el subconjunto de caracteres ASCII empleado para los nombres en Internet. De esta forma se pueden registrar dominios que hagan uso de caracteres no permitidos, por ejemplo podríamos registrar un dominio como España.com que quedaría como xn--espaa-rta.com. Evidentemente no es muy empleado porque para temas como el SEO, promoción y marca, no es muy eficiente. Queda raro que haya que escribir algo como xn--espaa-rta.com.

Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.
Los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes. De esta forma, por ejemplo el dominio "xn--pple-43d.com" aparecerá como tal (en vez de "аpple.com") al contar con caracteres de dos lenguajes, de esta forma se evita la confusión con el dominio real.

Pero el sistema de protección ante ataques homográficos falla si todos los caracteres son sustituidos con un carácter similar del mismo lenguaje. El dominio "аррӏе.com" registrado como "xn--80ak6aa92e.com" evita el filtro al emplear únicamente caracteres cirílicos. Esta forma de evitar la protección afecta a Chrome y Firefox, mientras que Internet Explorer, Microsoft Edge y Safari se libran del problema.

El desarrollador Xudong Zheng (@Xudong_Zheng) reportó el fallo a Chrome y Firefox el 20 de enero de 2017 y confirma que ha quedado corregido en la rama de Chrome 59, aunque finalmente se incluirá en

Chrome 58 que estará disponible en torno a la semana que viene. Por ahora sigue sin corregir en Firefox ya que no han decidido si está dentro de su alcance.

Como contramedida en Firefox se puede configurar desde 
about:config 
y asignar el valor
 network.IDN_show_punycode a true.


Esto fuerza a Firefox a mostrar siempre los dominios IDN en su forma Punycode, lo que permite identificar los dominios maliciosos.
Fuentes:
https://www.osi.es/es/actualidad/historias-reales/2017/08/23/nuevos-tiempos-nuevos-fraudes-phishing-unicode
http://unaaldia.hispasec.com/2017/04/phishing-con-caracteres-unicode.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.