Enkelte phishingangrep blir vanskeligere å oppdage


Digi.no forteller at enkelte phishingangrep kan være nesten umulige å oppdage i nettleserne Chrome og Firefox

Tidligere var det kun lov å bruke bokstavene a til z (og noen spesialtegn) i domenenavn, men etter at Internationalized Domain Name (IDN) ble innført ble det mulig å ha tegn også fra andre tegnsett. For norske domener betyr det at vi kan ha bokstavene æ,ø og å i domenenavnene.

Problemet er at noen tegnsett, for eksempel det kyrilliske, har tegn som er nærmest identiske til det ordinære alfabetet, men som altså er andre tegn. apple.com og apple.com ser helt like ut, men det ene har den kyrilliske a (U+0430) i stedet for den latinske a (U+0041).

Dette kan åpenbart utnyttes av kriminelle, som kan lage innloggingssider som ser helt ekte ut, og som har sertifikater som gjør at siden fremstår som autentisk.

De fleste nettlesere har beskyttelse mot dette, og vil vise URL som «xn--pple-43d.com» i stedet for “apple.com”. Det som nå er avdekket er at enkelte nettlesere bare vil skrive URL på denne måten, dersom URL består av bokstaver fra flere ulike tegnsett. Dersom hele domenenavnet blir skrevet med det samme tegnsettet, for eksempel det kyrilliske, vil nettleseren ikke vise adressen slik.

Google skal ha utbedret feilen i Chrome versjon 58, mens Mozilla foreløpig ikke har rettet feilen.

NorSIS anbefaler:

  • Sørg alltid for å ha siste versjon av nettleseren
  • Undersøk om din vanlige nettleser er sårbar for denne type phishing
  • Vurder å bytte nettleser dersom den er sårbar