Cirill betűkkel hamisítják a weboldalakat

Lenyűgözően kreatív és veszélyes támadási módot találtak ki a kiberbűnözők, és fel kell kötni a gatyánkat, ha el akarjuk kerülni az adataink kiszivárgását. Tessék, itt van egy link az epic.com weboldalra, amiről a böngésző is azt írja ki, hogy az epic.com oldalon járunk, minden tökéletesen biztonságos.

Nyugodtan kattintsanak rá, mert ezt az oldalt direkt azért hozták létre, hogy bemutassák a támadási módszer veszélyeit. Ez valójában a https://www.xn--e1awd7f.com/ című oldal, és azért jelenik meg a böngészőben epic.com-ként, mert ez a semmitmondó betűhányás valójában egy unicode karaktersor, és ezt tudja a böngésző különböző nem latin betűre átalakítani. Teljesen automatikusan, anélkül, hogy szólna róla.

A probléma ott kezdődik, hogy néhány cirill karakter pontosan úgy néz ki, mint egy teljesen másik latin betű, ezért tudnak a bűnözők az eredetire tökéletesen hasonlító webcímeket megszerezni.  A cirill ábécében többek közt az "a", "B", "c", "i", "l", "O" és "p" betűk hasonmásait találjuk meg, szóval elég sokféle lehetőség van a hamisításra. A cirill "a" például az unicode karakterkészletben az U+0430 kódot kapta, míg a latin "a" betűnk az U+0041 kódon található. És tök ugyanúgy néznek ki.

Érdemes megnézni ezt a címet is: https://www.xn--80ak6aa92e.com/

Az unicode karakterkészlet használata teljesen jóindulatú dologként indult. Abból fakad az egész, hogy az internetet az Egyesült Államokban találták fel, ezért minden címzési megoldást csak a szűkös angol karakterkészlet kezelésére készítettek fel. Semmi ékezetes betű, semmi kanji nem volt a doménekben. Persze aztán magyarok, japánok és sok másfajta betűt használó nép is elkezdett netezni, és problémásnak bizonyult az angolszász doménrendszer használata.

Meg is jelentek a nemzetközi doménnevek (IDN), és ezek a minden létező nyelvet ismerő unicode karakterkészletet használják. Persze a hamisítás problémájával sem most találkozunk először, az internetes doméneket felügyelő ICANN már több mint évtizede is kapott néhány panaszt. A böngészők gyártói is meglepően lazán kezeik az ügyet, minden figyelmeztetés nélkül megjelenítik az idegen karakterkészletű weboldalakat. Bár 2010-ben alapértelmezetten tiltották a böngészők a nemzetközi domének használatát, ezt úgy tűnik azóta az automatikus frissítések átkapcsolták, hogy alapból kezeljenek minden domént.

Most egy Xudon Zheng nevű webfejlesztő irányította rá a figyelmet a problémára, amire hivatalos megoldást az ICANN-tól nem érkezett. Nem is érdemes erre várni. A Google a Chrome böngésző 58-as verziójában kezeli a dolgot (ez április 28-án jelenik meg), a Mozilla Firefoxban pedig az about:config oldalt kell betölteni, és ott a network.IDN_show_punycode bejegyzést kell átállítani, hogy "true" legyen az értéke.