Publicação

Prevenção de phishing em domínios internacionalizados

foto de
Ariel Carvalho

"Phishing" é o envio automático e oculto de mensagens e que pode ocorrer por meio de e-mails ou de sites falsos, no qual muitas vezes, esses podem conter links ou outras informações que vão se tornar prejudiciais para quem recebe.


É justamente por "capturar" o usuário usando técnicas falsas e que se assemelham com as informações reais, que o termo "phishing" é muito utilizado quando falamos de segurança da informação e significa pescaria em inglês.


Desde 2009, a Corporação de Internet para Nomes e Números Atribuídos (ICANN) aprovou um grande número de extensões de domínio (TLDs - Top Level Domains, ou Domínios de Primeiro Nível internacionalizados) escritos com caracteres nos alfabetos árabe, chinês, cirílico, hebraico e outros não latinos e que na mais recente versão do Google Chrome seu uso tornou-se mais restrito, prezando a segurança do usuário.  

Isso porque quando usados no Domain Name System (DNS) - o livro de endereços da Internet - os nomes de domínio internacionalizados são convertidos em formato compatível com ASCII usando um sistema chamado Punycode, e que podem favorecer a criação de URLs falsas, porque alguns dos caracteres são muito semelhantes com as letras latinas. Estes são chamadas de hemógrafos, que são palavras que tem uma grafia similar, mas que possuem significados e/ou pronúncias diferentes.  


Dessa forma, os navegadores precisam fazer uma série de validações para saber se utilizarão de scripts originais ou os protocolos de Punycode, em que serão traduzidos para a codificação mais limitada aos caracteres latinos. 

Porém há uma regra: se caracteres latinos, cirílicos ou gregos forem misturados, Punycode sempre será usado. 

Um programador de aplicativos de Web chamado Xudong Zheng conseguiu provar que é possível substituir caracteres de um script diferente. 

Ele registrou o domínio "xn--80ak6aa92e.com" e criou um site cujo endereço parecia virtualmente idêntico ao apple.com quando aberto dentro do Chrome, Firefox ou Opera em Windows e Linux. Em macOS o "l" parecia um pouco diferente, mas ainda estava perto o suficiente.  

E é por isso que a versão mais recente do Chrome, da Google, tem aderiu à Política de Exibição de IDN com mais de 10 tipos de verificações diferentes e se todos os caracteres do domínio forem latinos semelhantes ao cirílicos e se o nome do domínio não for internacionalizado, os domínios serão exibidos em Punycode. 

Desta forma as verificações só se aplicam à TDLs tradicionais , genéricas e de código de país baseados em latino como ".com", ".net", ".org", ".uk" e assim por diante.

Mas ainda sim vale lembrar que mesmo em meio à tantas verificações para segurança, é muito difícil mapear os domínios indevidos.  

Alguns acreditam que os ataques de hemógrafos devem ficar sob responsabilidade com os proprietários das marcas que registram os domínios e que estes devem ter listas negras para combater essas ameaças.  

O Mozilla, por exemplo, ainda não se posicionou concretamente sobre os fatos e seu engenheiro de políticas, Gervase Markham ainda informou que os usuários podem forçar manualmente o navegador a exibir as IDNs em seus scripts em Punycode simplesmente ao digitar "about: config" na barra de endereços do navegador, localizando a configuração "network.IDN_show_punycode" e alterando seu valor de "false" para "true". 

 Vale lembrar que todo o cuidado é pouco e garantir a segurança do usuário durante a navegação é fundamental. 


Esse artigo foi publicado no site: https://www.gestaoesuportedeti.com.br

Comentários