EDICIóN GENERAL
220 meneos
7110 clics
Nuevos tiempos, nuevos fraudes: phishing unicode

Nuevos tiempos, nuevos fraudes: phishing unicode

Descripción de un caso de intento de fraude tipo phishing apoyado en URL con unicode y emisor de certificados gratuitos. El intento del protagonista de recuperar su smartphone robado estuvo a punto de salirle muy caro ya que casi pica ante un fraude bastante bien elaborado.

| etiquetas: phishing , fraude , móvil , iphone , unicode
Si no prohibir estos registros de dominios unicode engañosos monitorizarlos exhaustivamente, incluso que los registradores tengan que emitir una alerta a una autoridad al crearse o registrarse este tipo de dominios. Seria el grupo de dominios de riesgo de phishing a importantes entidades. Seria un grupo que tendria algun tipo de flag en el propio protocolo para indicar eso.

Y los navegadores podrian directamente alertar.
#1 tan simple como impedir mezclar ansi y unicode en el nombre del dominio.
#4 Más bien yo quitaría el unicode y utilizaría únicamente caracteres ascii simples. Ya se que no podrán haber dominios con ñ y cosas así pero tampoco es tan grave, ¿no? ¿Acaso a alguien necesita que la URL sea "menéame.net" con acento?. Sobre todo en estos tiempos en que ya casi nadie teclea una URL sino que casi siempre ponen la búsqueda en google.
#8 Quizás el que lo necesite seas tú cuando los talibanes ortográficos vengan a quemarte. xD
#8 Pues no te puedes imaginar lo cabezones que se ponen con la ñ los clientes pequeños a la hora de hacerles una web, porque claro, Juana la de la mercería no ha pensado en un nombre internacional y quiere que concida el dominio con el nombre en totalidad. Y no veas los dolores de cabeza de hacerles entender que esas cosas raras que ven en el login los receptores del correo lo verán como un caracter normal. y como dice #13 , ya verás los taliban de la lengua. Que son los precursores de tal iniciativa en España:

www.e-sort.net/blog/dominios-con-n-las-ventajas-y-sus-problemas/
#8 Eso, que les den por saco a los chinos, árabes, hindúes, japoneses, etc. Mientras los americanos puedan escribir dominios en su idioma nativo, lo demás no importa.
#8 claro que si, por que solo existen idiomas basados en el alfabeto latino.
#17 No, hay otros idiomas pero para una simple URL no hace falta usar otros alfabetos. Recuerda que una URL ni siquiera tiene por qué ser una palabra legible. (#8)
#21 Claro, porque transcribir o acordarse de URLs tipo hv73-lv74l3-65b56l2.com es trivial.
#21 claro que si, le vas a decir a alguien de una zona rural de bangladesh que aprenda alfabeto latino por que te apetece বিডিআইএ.বাংলা/
#25,#21 Pues de alguna forma se arreglaban antes de que metieran la tontería del unicode en los nombres de dominio.
#34 ¿sin tener internet antes?
#38 Me refiero a hace poco cuando sólo se permitían caracteres ascii standard. Internet funcionó durante mucho tiempo antes de que agregaran eso.
#41 internet funciono durante mucho tiempo hasta que llego el boom de internet en paises cuyas lenguas nativas no usan el alfabeto latino que son 2/3 partes de la poblacion mundial (y subiendo)
#50: Si la teoría es muy bonita, pero si me vais a meter una O que no es una O para robarme mi dinero, por mi se pueden meter el Unicode por donde les quepa.

Es más, yo plantearía la creación de una extensión para Firefox que alerte de la presencia de letras "raras" en el dominio. Si hay letras "raras", se cierra y punto, por muy legítima que sea la web.
#21 hombre, teniendo en cuenta que los nombres de dominio nacieron para facilitar la memorización de sitios, para no tener que memorizar direciones IP... No tendría mucho sentido aprenderse una URL tipo asdfasdfasdfasdfhhesrth.com . Me resultaría más facil aprenderme la IP. Respecto a lo demás de acuerdo, no entiendo la necesidad de usar mil y un alfabetos.
#8 No hay que olvidar que justamente se crearon nombres de dominio para que internet sea más cómodo para las personas. Escribir IPs (y no pensemos en una IPv6) es una mierda. Un fenómeno curioso es que por ejemplo en china empezaron a utilizar números en algunas urls como solución alternativa.

Quizás una alternativa más razonable sea que interpretar la url como unicode venga desactivado por defecto para ciertas regiones. En firefox lo hice desde que supe de ese tipo de fraudes.
#27 Claro, pero las personas "cómodas" no escriben URLs con eñes o cosas así. Lo que hacen es meter la descripción de lo que quieren en la URL para que lo busque google.

Lo de desactivarlo por regiones me parece bien. Yo lo desactivaría al menos para todas las regiones que usen caracteres latinos.
#33 Toda la razón, pensaba en lo mismo, pero si te llega un enlace es más cómodo hacer click que buscarlo, sobre todo si es un móvil o un tablet.
#35 Claro, pero si te llega un enlace no hay problema en que esté en inglés. Incluso los japoneses tienen su "romangi" para escribir con caracteres latinos.
#36 Tampoco es tan fácil, no escriben en alfabeto latino, escriben palabras extranjeras en katakana. Lo que resulta en algo muy extraño porque tienen que deformar la palabra para adaptarlo a sus fonemas y además lo escriben con caracteres japoneses.

Lo que tienes es que la gente mayor ve palabras escritas en caracteres de su propio idioma que no entiende. Al final es como si me mandas una url con caracteres cirílicos que pretenden adaptar de alguna manera una palabra española, me puedo acostumbrar, pero iría contra esa idea de hacer que las url se adapten a las personas.
#42 Que sí, que los japoneses pueden escribir con alfabeto latino: se llama romanji. No es que sea lo ideal porque hay cosas difíciles de escribir con fonética inglesa pero no es desconocido para ellos.
Ejemplo:  media
#44 Mi comentario lo hacía porque no tenía claro de si cualquier japones sabría entender romanji a una velocidad medianamente decente, y tampoco tendría claro si efectivamente cualquiera podría, o si es parte de su enseñanza aprender romanji con letras latinas. Supongo que esas señales son más bien para extranjeros, y como te dije, si van a escribir palabras extranjeras lo hacen en katakana. También añadiría el problema que tendrían con palabras homófonas porque al escribir en romanji no tendrías ni idea con que kanjis está escrito y no es algo trivial dadas las múltiples pronunciaciones que tiene cada uno.
#45 No os lieis. Lo más habitual es que los japoneses usen Google (con palabras clave). En el peor de los casos, recurren a códigos QR.

Casi nadie usa romanji para las URL (Porque saben que nadie se va a acordar).
#33 y si yo vivo en españa y se ruso y quiero visitar una web rusa cuyo dominio es solo en ruso? En un mundo global no puedes implementar dichas restrinciones.
#39 En ese caso tendrías que habilitar manualmente el uso de unicode.
Pero bueno, la otra alternativa, que me gusta más, es volver a como era todo antes de que habilitaran esa aberración en los diminios.
#39 Una aclaración, ahora mismo yo tengo desabilitada que se interpreten como unicode esas url en la barra del navegador y eso no me impide para nada navegar.

Yo veo perfectamente esta url www.аррӏе.com/ como "apple" pero al hacer click en ella (o si la escribiera) al cargar la página la url cambiaría a www.xn--80ak6aa92e.com/ que es su equivalente sin interpretar como unicode.

Al menos a esa opción es la que me refiero yo. Si quieres visitar sitios en ruso, no te generaría ningún problema, tanto si escribes la url, como si haces click en un enlace, etc, pero al cargar la página verías su url sin interpretar. También al pasar el ratón sobre el enlace verías la url "real".
#47 es mas sencillo lo que dije en #4 prohibir mezclar codificaciones en los nombres de dominio, como se hacen en muchos otros sitios.
#51 Tampoco es una solución definitiva porque se pueden construir nombres similares sin mezclar codificaciones. En otros comentarios hay ejemplos de ello, y de hecho esa es la solución adoptada por chrome hasta hace como un año, hasta que alguien publico que eso no protegía del todo contra esos fraudes.
#53 las url "parecidas" no vas a poder impedirlas jamas, salvo que la marca propietaria reclame el dominio.
#54 Al hablar de parecidas me refiero a esto:
www.аррӏе.com/

No mezcla codificaciones. Por eso digo que simplemente fijarse en las que mezclan codificaciones no sirve. Y por cierto, la página a la que enlaza esa url lo explica mucho mejor.
#54 #55 No tengo claro si esa es la url correcta pero en enlace vienen las dos variantes, la construida mezclando caracteres y la que no.
#58 Es lo que añadía en #57, léelo todo porque ahí te vienen las dos codificaciones, una es mezcla y otra no. Sinceramente no tengo ni idea cuál copie y pegué.

The domain "аррӏе.com", registered as "xn--80ak6aa92e.com", bypasses the filter by only using Cyrillic characters. You can check this out yourself in the proof-of-concept using Chrome, Firefox, or Opera.
#55 esa es mezclar codificaciones, ". It may not be obvious at first glance, but "аpple.com" uses the Cyrillic "а" (U+0430) rather than the ASCII "a" (U+0061)."
#27: ¿Dónde se puede hacer eso?
#76 Si escribes "about:config" en la barra del navegador llegas a una página que contiene distintos parámetros de configuración para firefox. Ahí "punycode" en la barra de búsqueda y te muestra una única entrada que es "network.IDN_show_punycode" y solo tienes que cambiar su valor a "true".

Eso consigue que si escribes esas urls o haces click en ellas por un enlace funcionen, pero en la barra del navegador ya no sale el texto en unicode.
#80: Perfecto, ya lo tenía en "true", se ve que en algún momento ya lo corregí.

Habría que correr la voz para prevenir que la gente sea pwneada.
#8 serás tú el que nunca pone urls.
#61 Yo suelo ponerlas, pero reconozco que a veces también recurro a google en lugar de andar llenando de bookmarks mi navegador.
#15 ha dicho los engañosos, no todos, de todas formas mi propuesta en #4 es la mas simple y efectiva.
#19 De hecho creo que esa era la solución de chrome, y no recuerdo si firefox también la implementaba, pero se pueden construir urls parecidas sin mezclar alfabetos.
#32 es que tendria que ser prohibido a nivel de registar no de cliente.
#77 por eso en #4 digo de prohibir mezclar unicode y ansi o ansi y cirilico o simlares.
#1 Yaa y dejas sin acceso a comunicacion e identidad a mas de la mitad de la poblacion mundial ??
Has pensado un momento lo que has dicho ?? Quieres que todo los rusos escriban sus web en un idioma extranjero ? o los malayos ??
#15 segun es.wikipedia.org/wiki/Alfabeto_latino 2/3 de la poblacion mundial NO utilizan alfabeto latino.
#20: Si muy bonito, pero si me están poniendo una O que no es una O o una P que no es una P, que me lo avisen.
#1 Para un usuario medio chrome lo hace perfecto, ya que muestra el IDN en su formato original y es muy facil darse cuenta del engaño, ya que tanto a la hora de pulsar el link como en la barra de direcciones estás viendo la version ascii compatible.

Sin embargo firefox muestra la versión unicode, lo que favorece a que pase desapercibido.
Al mismo tiempo que Asun se percataba del engaño, los ladrones del móvil pensando que Asun les enviaría sus credenciales con el engaño dejaron encendido el dispositivo, de tal forma que Asun pudo ver la localización exacta de su teléfono. Denunció lo sucedido y con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado, pudieron acudir al lugar donde la señal se encontraba activa y localizar a los ladrones y recuperar el teléfono.

Espero que además del hurto les imputen por suplantación de identidad e intento de estafa. >:-(
#2 Siento decepcionarte, pero Asun no existe... :roll:
#5 #2 Eso mismo venía a decir yo, me cuesta creer que la policía fuera a ninguna parte por un teléfono robado...
#11 Yo solo conozco dos casos, y en ambos fueron los propios dueños los que intentaron recuperarlo por inacción de la polícía. Como no sea un movil excesivamente me caro (que sea un delito) olvidate.
#52 Si te lo ha robado el dueño del bar, pues mira, te presentas allí y lo pones verde. Pero si te lo han robado una banda de latinos o unos etnianos, hay que ser muy imprudente para ir a buscarlo.
#63 Desde luego, pero no era el caso. De donde soy era si hay bandas latinas serán de reciente creación. Lo normal es que si te han robado el movil sea el tipico chaval que se lo ha encontrado y en lugar de devolvertelo a pensado que podía hacer el agosto sin acordarse de que la mayoría de la gente lo tiene geolocalizado y con reporte de foto incluído al correo.
#52 Exacto, por eso lo comentaba :-/
#5 Asun son los padres.
#2 En España el intento de estafa no es delito.
#9 Pues debería serlo, o lo consigues o no lo consigues, pero no lo intentes. :troll:
#14 Sí, en general en las leyes los "intentos" de un delito se suelen castigar igual que si se hubieran cometido. Pero en España no pasa eso con las estafas. Por eso es que se difundieron tanto los SMS de "alguien que conoces te ha mandado un mensaje".
#22 Menuda majadería. ¿Acaso dan el premio Nobel por intento de química?  media
#64 A ver, aquí hay una confusión muy común que es considerar castigo a la pena por un delito. Las penas no son (o no deben ser) para castigar a una persona sino para evitar que esa persona siga haciendo daño. Si bien es importante lo que la persona hace, también importante lo que intenta hacer. Si alguien trata de matarte y no lo consigue, ¿no pasa nada porque no te mató? Pues no. Lo importante fue su intención de matarte. Por otro lado, si una persona te mata accidentalmente, tiene una pena pero muchísimo menor justamente porque no tuvo intención de matarte. La pena es más bien un "aprende a tener mas cuidado".
#66 Sólo era un chiste de los simpsons. En teoría, las penas están para rehabilitar al delincuente y que pueda ser incorporado a la sociedad.
#70 O para separar al delincuente de la sociedad y que no pueda hacer más daño como en el caso de las cadenas perpetuas.
Que cabrones, me costo ver el puntito de marras en icloud :foreveralone:
Si es que hay que andarse con un ojo...
#3 Son unos pringaos, hay una "o" en griego que es calcada a la nuestra, no la distingues. Salió el otro día por aquí, la usaron para crear una página de "microsoft".
Ahora en serio, hay que ver cómo se lo curran. Y, si no fuera por el puntito, que es mejorable, ¿quién se pone a comprobar el certificado? Caes seguro.
#7 la solucion es escribir manualmente la url y jamas pulsar un elnlace
#18 Eso está muy bien para esos mensajes de activación con como 500 caracteres aleatorios. :-D
#7 Microsoft, google, y apple. Si te fijabas mucho se veía que no eran letras "normales" pero tienes que estar sobreavisado para darte cuenta de que pasa algo raro.
¡Qué lista Asun!
#6 Eso si te crees toda la historia. Como lectura para explicar el phishing unicode está muy bien pero tengo muchas dudas que la historia sea real. Tiene muchas lagunas y cosas que no cuadran.
#43 Eso me parecía, la gente de la calle que se queda con tu iphone que olvidaste en un bar, normalmente ni sabe ni se molestaría tanto para quedarse con tu cuenta de icloud. Por no hablar del final feliz con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado.
Apple no va a mandar un mensaje al telefono de tu mensaje de advertencia en el iphone robado/perdido
Yo empezaria a sospechar desde ahí. Me pregunto cuanta gente ha caido en eso
#10 Se supone que el SMS se mandaría al nuevo teléfono cuando se hiciera un duplicado de la SIM.
#60 "Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS: " No digo que no, pero no es lo que pone en el texto
"Nuevos fraudes" :professor: . El ataque homográfico de Unicode es tan viejo como Unicode mismo. Los dominios internacionalizados llevan usándose desde 2010. Ya había ataques propuestos antes incluso de que se estandarizara [1]. Aquí [2] tenéis una prueba de concepto (funcionará o no dependiendo del navegador utilizado(.

[1] www.cs.technion.ac.il/~gabr/papers/homograph_full.pdf
[2] www.аррӏе.com/
#12 Y no hay posibilidad de desactivar la transcripción y que muestre solo ASCII en las URL??
Menudo INVENT de historia xD

Mi escena favorita de la película es cuando va a denunciar el robo de su móvil y le acompañan los antidisturbios, los GEOs y los TEDAX a recuperarlo.
#23 No tiene por que ser invento, el spoffing de url existe, por suerte en la mayoria de los navegadores de sobremesa no funciona lo de mezclar unicode con ansi. visita www.аррӏе.com/ (incluso en mi navegador de android 4.2 no "funciona")
#26 No, el intento de ataque usando URLs con unicode SI existe. La historia de Asun es lo que es un INVENT xD
Me creí la historia hasta que dijo que la policía fue a buscar su móvil, que derroche de imaginación jajajaja
En Firefox si vas al about:config y pones 'network.IDN_show_punycode' en true, te muestra la dirección real. Puedes probarlo aquí www.xn--80ak6aa92e.com/
How to fix this in Firefox:

In your firefox location bar, type ‘about:config’ without quotes.

Do a search for ‘punycode’ without quotes.

You should see a parameter titled: network.IDN_show_punycode

Change the value from false to true.

menéame