Stále více se ukazuje, že se kybernetickým útočníkům vyplatí mířit na lidský faktor, a tak se často uchylují k phishingu, tedy k lákání oběti ke kliknutí na škodlivý odkaz či k nechtěnému poskytnutí citlivých informací. Jednou ze sofistikovanějších metod tohoto útoku je použití punycode. Skrz něj dochází k tzv. homografický útokům. V čem spočívají a jak si na ně dát pozor?
1. Co přesně je punycode?
Punycode je způsob, jakým převést řetězce znaků, nejčastěji v názvu internetové domény, z Unicode na ASCII a naopak. ASCII je v informatice nejčastěji používaná znaková sada, která vychází primárně z anglické abecedy. Punycode pak umožňuje převádět do ASCII znaky, které ASCII neobsahuje, například písmena pocházející z řečtiny či hebrejštiny.
Unicode má totiž nesrovnatelně větší množství znaků a písmen, které s ním lze psát. Kromě velkého množství jazyků se jím dokonce dají zapsat na internetu stále početnější emotikony. Jakkoli se zdá, že je tedy punycode užitečným nástrojem pro putování po globálních internetových vodách, bývá často zneužíván ke kybernetickým útokům.
2. Jak vypadá homografický útok?
V případě homografického útoku se právě punycode zneužije k tomu, aby útočník přiměl oběť ke kliknutí na URL odkaz, který vypadá zdánlivě legitimně, ale ve skutečnosti je to past. Pracuje totiž se zdánlivou podobností znaků nepoužívaných v ASCII s klasickými písmeny. Kvůli tomu může útočník založit doménu, která je téměř totožná s těmi oficiálními. Pokud si oběť nedá pozor, je jednoduché se při letmém pohledu splést a uvěřit, že odkaz vede na skutečnou oficiální stránku, např. na internetové bankovnictví či sociální sítě.
3. Proč je lehké tomuto útoku podlehnout?
Jak tedy daný URL odkaz vypadá a jak to, že si ho můžeme lehce splést? Může být totiž zapsaný např. cyrilicí, tedy odlišnými znaky, které na první pohled vypadají velmi podobně jako námi používané symboly.
Jako příklady můžeme uvést:
- Služba -> legit doména -> fake doména
- Microsoft -> microsoft.com -> mìcrosoft[.]com
- Paypal -> paypal.com -> paypaḷ[.]com
- Coinbase -> coinbase.com -> ćoinbase[.]name
- Blockchain -> blockchain.com -> blóckchäin[.]com
- Twitter -> twitter.com -> twittër[.]com
- Rolex ➡ rołex.com.
4. Jak se homografickým útokům bránit?
Ochrana záleží v tomto případě především na opatrnosti jednotlivých uživatelů. Vždy si dávejte pozor na maily, které po vás chtějí udělat něco rychle. Vždycky si u odkazů pozorně prohlédněte, jestli v něm náhodou není nějaké písmeno lehce odlišné (viz zmiňovaný paypaḷ). Pokud vám přišel mail s podezřelou nabídkou od nějaké firmy, raději se nejdřív podívejte na jejich oficiální stránky, jestli se tam o podobné nabídce něco píše. Nejjednodušší ochranou je pak neklikat na odkaz vůbec.
Punycode se dá použít i k založení falešného firemního e-mailu. Pokud vám píše nadřízený, že chce na nějaký účet poslat obnos peněz, pozorně si prohlédněte jeho emailovou adresu, příp. ji zkopírujte do adresáře, jestli to náhodou z tohoto e-mailu není teprve první zpráva.
Whalebone má širokou databázi škodlivých domén, díky které odhalí, že se nejedná o bezpečný odkaz a koncového uživatele na rizikovou stránku tedy nepustí a předejde tak souvisejícím rizikům.
