Nuevos tiempos, nuevos fraudes: phishing unicode

Que cabrones, me costo ver el puntito de marras en icloud
Si es que hay que andarse con un ojo...

#1 tan simple como impedir mezclar ansi y unicode en el nombre del dominio.

¡Qué lista Asun!

#3 Son unos pringaos, hay una "o" en griego que es calcada a la nuestra, no la distingues. Salió el otro día por aquí, la usaron para crear una página de "microsoft".
Ahora en serio, hay que ver cómo se lo curran. Y, si no fuera por el puntito, que es mejorable, ¿quién se pone a comprobar el certificado? Caes seguro.

#4 Más bien yo quitaría el unicode y utilizaría únicamente caracteres ascii simples. Ya se que no podrán haber dominios con ñ y cosas así pero tampoco es tan grave, ¿no? ¿Acaso a alguien necesita que la URL sea "menéame.net" con acento?. Sobre todo en estos tiempos en que ya casi nadie teclea una URL sino que casi siempre ponen la búsqueda en google.

#2 En España el intento de estafa no es delito.

Apple no va a mandar un mensaje al telefono de tu mensaje de advertencia en el iphone robado/perdido
Yo empezaria a sospechar desde ahí. Me pregunto cuanta gente ha caido en eso

#8 Quizás el que lo necesite seas tú cuando los talibanes ortográficos vengan a quemarte.

#9 Pues debería serlo, o lo consigues o no lo consigues, pero no lo intentes.

#1 Yaa y dejas sin acceso a comunicacion e identidad a mas de la mitad de la poblacion mundial ??
Has pensado un momento lo que has dicho ?? Quieres que todo los rusos escriban sus web en un idioma extranjero ? o los malayos ??

#8 claro que si, por que solo existen idiomas basados en el alfabeto latino.

#7 la solucion es escribir manualmente la url y jamas pulsar un elnlace

#15 ha dicho los engañosos, no todos, de todas formas mi propuesta en #4 es la mas simple y efectiva.

#15 segun https://es.wikipedia.org/wiki/Alfabeto_latino 2/3 de la poblacion mundial NO utilizan alfabeto latino.

#17 No, hay otros idiomas pero para una simple URL no hace falta usar otros alfabetos. Recuerda que una URL ni siquiera tiene por qué ser una palabra legible. (#8)

#14 Sí, en general en las leyes los "intentos" de un delito se suelen castigar igual que si se hubieran cometido. Pero en España no pasa eso con las estafas. Por eso es que se difundieron tanto los SMS de "alguien que conoces te ha mandado un mensaje".

Menudo INVENT de historia

Mi escena favorita de la película es cuando va a denunciar el robo de su móvil y le acompañan los antidisturbios, los GEOs y los TEDAX a recuperarlo.

#21 Claro, porque transcribir o acordarse de URLs tipo https://hv73-lv74l3-65b56l2.com es trivial.

#21 claro que si, le vas a decir a alguien de una zona rural de bangladesh que aprenda alfabeto latino por que te apetece http://বিডিআইএ.বাংলা/

#23 No tiene por que ser invento, el spoffing de url existe, por suerte en la mayoria de los navegadores de sobremesa no funciona lo de mezclar unicode con ansi. visita http://www.аррӏе.com/ (incluso en mi navegador de android 4.2 no "funciona")

#8 No hay que olvidar que justamente se crearon nombres de dominio para que internet sea más cómodo para las personas. Escribir IPs (y no pensemos en una IPv6) es una mierda. Un fenómeno curioso es que por ejemplo en china empezaron a utilizar números en algunas urls como solución alternativa.

Quizás una alternativa más razonable sea que interpretar la url como unicode venga desactivado por defecto para ciertas regiones. En firefox lo hice desde que supe de ese tipo de fraudes.

#12 Y no hay posibilidad de desactivar la transcripción y que muestre solo ASCII en las URL??

#7 Microsoft, google, y apple. Si te fijabas mucho se veía que no eran letras "normales" pero tienes que estar sobreavisado para darte cuenta de que pasa algo raro.

#26 No, el intento de ataque usando URLs con unicode SI existe. La historia de Asun es lo que es un INVENT

#18 Eso está muy bien para esos mensajes de activación con como 500 caracteres aleatorios.

#19 De hecho creo que esa era la solución de chrome, y no recuerdo si firefox también la implementaba, pero se pueden construir urls parecidas sin mezclar alfabetos.

#27 Claro, pero las personas "cómodas" no escriben URLs con eñes o cosas así. Lo que hacen es meter la descripción de lo que quieren en la URL para que lo busque google.

Lo de desactivarlo por regiones me parece bien. Yo lo desactivaría al menos para todas las regiones que usen caracteres latinos.

#25,#21 Pues de alguna forma se arreglaban antes de que metieran la tontería del unicode en los nombres de dominio.

#33 Toda la razón, pensaba en lo mismo, pero si te llega un enlace es más cómodo hacer click que buscarlo, sobre todo si es un móvil o un tablet.

#35 Claro, pero si te llega un enlace no hay problema en que esté en inglés. Incluso los japoneses tienen su "romangi" para escribir con caracteres latinos.

#32 es que tendria que ser prohibido a nivel de registar no de cliente.

#34 ¿sin tener internet antes?

#33 y si yo vivo en españa y se ruso y quiero visitar una web rusa cuyo dominio es solo en ruso? En un mundo global no puedes implementar dichas restrinciones.

#39 En ese caso tendrías que habilitar manualmente el uso de unicode.
Pero bueno, la otra alternativa, que me gusta más, es volver a como era todo antes de que habilitaran esa aberración en los diminios.

#38 Me refiero a hace poco cuando sólo se permitían caracteres ascii standard. Internet funcionó durante mucho tiempo antes de que agregaran eso.

#36 Tampoco es tan fácil, no escriben en alfabeto latino, escriben palabras extranjeras en katakana. Lo que resulta en algo muy extraño porque tienen que deformar la palabra para adaptarlo a sus fonemas y además lo escriben con caracteres japoneses.

Lo que tienes es que la gente mayor ve palabras escritas en caracteres de su propio idioma que no entiende. Al final es como si me mandas una url con caracteres cirílicos que pretenden adaptar de alguna manera una palabra española, me puedo acostumbrar, pero iría contra esa idea de hacer que las url se adapten a las personas.

#6 Eso si te crees toda la historia. Como lectura para explicar el phishing unicode está muy bien pero tengo muchas dudas que la historia sea real. Tiene muchas lagunas y cosas que no cuadran.

#42 Que sí, que los japoneses pueden escribir con alfabeto latino: se llama romanji. No es que sea lo ideal porque hay cosas difíciles de escribir con fonética inglesa pero no es desconocido para ellos.
Ejemplo:

#44 Mi comentario lo hacía porque no tenía claro de si cualquier japones sabría entender romanji a una velocidad medianamente decente, y tampoco tendría claro si efectivamente cualquiera podría, o si es parte de su enseñanza aprender romanji con letras latinas. Supongo que esas señales son más bien para extranjeros, y como te dije, si van a escribir palabras extranjeras lo hacen en katakana. También añadiría el problema que tendrían con palabras homófonas porque al escribir en romanji no tendrías ni idea con que kanjis está escrito y no es algo trivial dadas las múltiples pronunciaciones que tiene cada uno.

#39 Una aclaración, ahora mismo yo tengo desabilitada que se interpreten como unicode esas url en la barra del navegador y eso no me impide para nada navegar.

Yo veo perfectamente esta url http://www.аррӏе.com/ como "apple" pero al hacer click en ella (o si la escribiera) al cargar la página la url cambiaría a https://www.xn--80ak6aa92e.com/ que es su equivalente sin interpretar como unicode.

Al menos a esa opción es la que me refiero yo. Si quieres visitar sitios en ruso, no te generaría ningún problema, tanto si escribes la url, como si haces click en un enlace, etc, pero al cargar la página verías su url sin interpretar. También al pasar el ratón sobre el enlace verías la url "real".

#1 Para un usuario medio chrome lo hace perfecto, ya que muestra el IDN en su formato original y es muy facil darse cuenta del engaño, ya que tanto a la hora de pulsar el link como en la barra de direcciones estás viendo la version ascii compatible.

Sin embargo firefox muestra la versión unicode, lo que favorece a que pase desapercibido.

#41 internet funciono durante mucho tiempo hasta que llego el boom de internet en paises cuyas lenguas nativas no usan el alfabeto latino que son 2/3 partes de la poblacion mundial (y subiendo)

#47 es mas sencillo lo que dije en #4 prohibir mezclar codificaciones en los nombres de dominio, como se hacen en muchos otros sitios.

#51 Tampoco es una solución definitiva porque se pueden construir nombres similares sin mezclar codificaciones. En otros comentarios hay ejemplos de ello, y de hecho esa es la solución adoptada por chrome hasta hace como un año, hasta que alguien publico que eso no protegía del todo contra esos fraudes.

#53 las url "parecidas" no vas a poder impedirlas jamas, salvo que la marca propietaria reclame el dominio.

#54 Al hablar de parecidas me refiero a esto:
http://www.аррӏе.com/

No mezcla codificaciones. Por eso digo que simplemente fijarse en las que mezclan codificaciones no sirve. Y por cierto, la página a la que enlaza esa url lo explica mucho mejor.

#5 Asun son los padres.

#54 #55 No tengo claro si esa es la url correcta pero en enlace vienen las dos variantes, la construida mezclando caracteres y la que no.

#55 esa es mezclar codificaciones, ". It may not be obvious at first glance, but "аpple.com" uses the Cyrillic "а" (U+0430) rather than the ASCII "a" (U+0061)."

#58 Es lo que añadía en #57, léelo todo porque ahí te vienen las dos codificaciones, una es mezcla y otra no. Sinceramente no tengo ni idea cuál copie y pegué.

The domain "аррӏе.com", registered as "xn--80ak6aa92e.com", bypasses the filter by only using Cyrillic characters. You can check this out yourself in the proof-of-concept using Chrome, Firefox, or Opera.

#10 Se supone que el SMS se mandaría al nuevo teléfono cuando se hiciera un duplicado de la SIM.

#8 serás tú el que nunca pone urls.

#45 No os lieis. Lo más habitual es que los japoneses usen Google (con palabras clave). En el peor de los casos, recurren a códigos QR.

Casi nadie usa romanji para las URL (Porque saben que nadie se va a acordar).

#52 Si te lo ha robado el dueño del bar, pues mira, te presentas allí y lo pones verde. Pero si te lo han robado una banda de latinos o unos etnianos, hay que ser muy imprudente para ir a buscarlo.

#22 Menuda majadería. ¿Acaso dan el premio Nobel por intento de química?

Me creí la historia hasta que dijo que la policía fue a buscar su móvil, que derroche de imaginación jajajaja

#64 A ver, aquí hay una confusión muy común que es considerar castigo a la pena por un delito. Las penas no son (o no deben ser) para castigar a una persona sino para evitar que esa persona siga haciendo daño. Si bien es importante lo que la persona hace, también importante lo que intenta hacer. Si alguien trata de matarte y no lo consigue, ¿no pasa nada porque no te mató? Pues no. Lo importante fue su intención de matarte. Por otro lado, si una persona te mata accidentalmente, tiene una pena pero muchísimo menor justamente porque no tuvo intención de matarte. La pena es más bien un "aprende a tener mas cuidado".

#61 Yo suelo ponerlas, pero reconozco que a veces también recurro a google en lugar de andar llenando de bookmarks mi navegador.

#52 Exacto, por eso lo comentaba

#66 Sólo era un chiste de los simpsons. En teoría, las penas están para rehabilitar al delincuente y que pueda ser incorporado a la sociedad.

#60 "Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS: " No digo que no, pero no es lo que pone en el texto

#70 O para separar al delincuente de la sociedad y que no pueda hacer más daño como en el caso de las cadenas perpetuas.

#43 Eso me parecía, la gente de la calle que se queda con tu iphone que olvidaste en un bar, normalmente ni sabe ni se molestaría tanto para quedarse con tu cuenta de icloud. Por no hablar del final feliz con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado.

En Firefox si vas al about:config y pones 'network.IDN_show_punycode' en true, te muestra la dirección real. Puedes probarlo aquí https://www.xn--80ak6aa92e.com/

#50: Si la teoría es muy bonita, pero si me vais a meter una O que no es una O para robarme mi dinero, por mi se pueden meter el Unicode por donde les quepa.

Es más, yo plantearía la creación de una extensión para Firefox que alerte de la presencia de letras "raras" en el dominio. Si hay letras "raras", se cierra y punto, por muy legítima que sea la web.

#27: ¿Dónde se puede hacer eso?

#20: Si muy bonito, pero si me están poniendo una O que no es una O o una P que no es una P, que me lo avisen.

#77 por eso en #4 digo de prohibir mezclar unicode y ansi o ansi y cirilico o simlares.

How to fix this in Firefox:

In your firefox location bar, type ‘about:config’ without quotes.

Do a search for ‘punycode’ without quotes.

You should see a parameter titled: network.IDN_show_punycode

Change the value from false to true.

#76 Si escribes "about:config" en la barra del navegador llegas a una página que contiene distintos parámetros de configuración para firefox. Ahí "punycode" en la barra de búsqueda y te muestra una única entrada que es "network.IDN_show_punycode" y solo tienes que cambiar su valor a "true".

Eso consigue que si escribes esas urls o haces click en ellas por un enlace funcionen, pero en la barra del navegador ya no sale el texto en unicode.

#80: Perfecto, ya lo tenía en "true", se ve que en algún momento ya lo corregí.

Habría que correr la voz para prevenir que la gente sea pwneada.