La risposta di Arminius menziona le condizioni in cui i browser rendono punycode al posto dei glifi Unicode effettivi. Nella mia esperienza, queste condizioni non sono sufficienti: ad esempio, l'URL link (il collegamento è sicuro, ma potrebbe essere un sito di phishing!) è reso come punycode da Chrome ma non da Firefox:
Eccolasoluzionecheusopersonalmente.Potrebbeessereeccessivo,maproteggeesattamentedaquestoattacco.
Èunprerequisitoperquestasoluzioneche,quandostaiperimmetterecredenzialiinqualsiasisitoweb,leggisemprelabarradegliindirizziprimadiinserirequalsiasidato.*Dovrestifarlocomunque!-Maèinrealtànecessarioperciòchesegue.
Lamiaproceduraèsemplice.Primadiinserirelecredenziali,copioiltestonellabarradegliindirizzi,quindilancioilprogrammahexob
,chehodefinitocomesegue(inunfile~/bin/hexob
):
#!/bin/shxsel-ob|xxd|xmessage-file-
QuestoprogrammavisualizzaleunitàdicodiceperlacodificaUTF-8degliappuntiinunafinestradimessaggio,comequesta:
Possoverificarerapidamenteleggendol'hostchequestoèunURLdiaccessovalido:poichél'hostapparecorrettamentesullatodestro,tuttiipuntidicodicedell'hostsonoinASCII.
D'altraparte,sequalcunomiavessecollegatoal link , che esemplifica un attacco di omografo, quindi la finestra di messaggio appare in questo modo:
Qui,vedoleunitàdicodiceperlacodificaUTF-8dihttps://аррӏе.com/
,cheèmoltodiversadallacodificaUTF-8dihttps://apple.com/
.LamaggiorpartedeipuntidicodicenonsonoinASCII,quindilelorounitàdicodiceUTF-8hannoilsetdiMSB,equindiappaionocomeuncertonumerodi.
ssullatodestro.Sevedo.
ssullatodestronellapartehostdell'URL,Istopenoninserirealcunacredenziale.
DigitoC-lC-cSuper-phexobRET
percompletarel'interoprocesso,cherichiedesolopochisecondi.(IlmioSuper-p
potrebbeessereiltuoAlt-F2
osimile.)
*Notachedevifarequestoognivoltachestaiperinserireidati.Adesempio,seaccediaGoogleeinseriscilatuapassword,Googledice"password errata", devi eseguire nuovamente questa procedura. Questo perché la pagina di accesso di Google ha un reindirizzamento aperto: posso creare una pagina che ti indirizza al sistema di accesso effettivo di Google e, dopo aver effettuato l'accesso, ti reindirizza automaticamente alla mia pagina di phishing che assomiglia esattamente a Il sistema di accesso di Google, ma è controllato da me.