Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Jak w temacie:
https://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html
Jak na razie, załatać można tylko Firefoxa, ustawiając w [b]about:config[/b] klucz
network.IDN_show_punycode, true
Domyślnie ten klucz istnieje, ale ma wartość false.
W przypadku Chrome załatana ma być wersja 58, Opera pewnie też kiedyś
to załata, w każdym razie dziura jest dosyć groźna, zwłaszcza w połączeniu
z nieaktualizowanym softem w routerze.
Tu jest [url=https://xn--80ak6aa92e.com/]demo ataku[/url].
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2017-04-18 01:30:43)
Offline
Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD
Offline
[quote=morfik]Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD[/quote]
Chodzi o to, żeby wyświetlać adresy internetowe w standardzie UTF8
- ze znakami charakterystycznymi dla rożnych języków.
Np przez internet zapierdziela adres domenowy w US-ASCII,
a wyświetla w przeglądarce różyczka.pl.
Dowcip polega na tym, że programiści z US nie znają wszystkich języków świata i dlatego chińscy, japońscy , perscy czy arabscy hakerzy mają z tego niezłą polewkę czasami.
W ten sposób można zrobić kopie stron wszystkich banków w ZSRE,
a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?
Co się tyczy odpowiedniego przekierowania DNS, to jak często " statystyczny Kowalski" [url=https://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/]aktualizuje soft w routerze[/url]?
Swoją drogą punkt dla FF, 30 sekund i poprawione, a w przypadku Chrome, Opery czy bibliotek - Webkitów, wszystko jest podatne we wszystkich systemach.
Pozdro
Ostatnio edytowany przez Jacekalex (2017-04-18 18:19:44)
Offline
Warto rownież rozważyć zmianę czcionki, co oczywiście problemu nie rozwiązuje, ale czyni pewne próby zdecydowanie bardziej oczywistymi:
[img]http://i.imgur.com/Rje0NZL.png[/img]
Ostatnio edytowany przez Carnophage (2017-04-18 18:53:39)
Offline
[quote=Jacekalex]a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?[/quote]
Eee, ja. xD A poza tym, to to znowu tak nie działa, to musisz wejść w link, ewentualnie skopiować tekst i go wkleić w pole adresu. A jak masz zakładkę banku czy z palca wpisujesz adres, to ci ten atak żadnej krzywdy nie wyrządzi.
Idąc dalej, jeśli się przyjrzysz uważnie, to jeden cert jest podpisany przez let's encrypt i tam masz może kłódkę ale nie masz żadnego podpisu. A wejdź w apple.com i od razu różnica już jest widoczna w pasku adresu. Ja zawsze patrzę po tej nazwie i jak nie ma nazwy, a jest to jakiś krytyczny serwis, to jednak patrzę co tam za cert siedzi. xD
[img]http://i.imgur.com/nbzzZFP.png[/img]
Offline
Pod warunkiem, że strona stosuje Extended Validation.
Poza tym, 99% ludziów nie zauważy, kiedy strona np ingbanku czy mbanku nie pokaże nagłówka EV, tylko w najlepszym razie, kiedy pokaże się ostrzeżenie dotyczące certyfikatu, a to też nie zawsze.
Ostatnio edytowany przez Jacekalex (2017-04-18 20:27:59)
Offline
Chyba wszystkie szanujące się banki i strony stosujące jakieś formy płatności (paypal) raczej już wykorzystują ten EV i dobrze jest zwracać uwagę na to co pisze tam na pasku.
A tak po za tym, to chyba let's encrypt przyczynił się do eskalacji tego ataku jak nikt inny. xD
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00115 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.97.14.86' WHERE u.id=1 |
0.00092 | UPDATE punbb_online SET logged=1734215532 WHERE ident='18.97.14.86' |
0.00048 | SELECT * FROM punbb_online WHERE logged<1734215232 |
0.00109 | SELECT topic_id FROM punbb_posts WHERE id=310137 |
0.00137 | SELECT id FROM punbb_posts WHERE topic_id=29508 ORDER BY posted |
0.00069 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29508 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00084 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29508 ORDER BY p.id LIMIT 0,25 |
0.00124 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29508 |
Total query time: 0.008 s |