Phishing opiera się na rozmaitych technikach. Jedną z nich jest wykorzystanie domen IDN. Tego typu działania mogą zmylić nawet doświadczonych internautów, również domainerów.

Internet powoli przestaje być sferą „wolnej amerykanki”, mimo to można odnieść wrażenie, że phishing staje się procederem coraz łatwiejszym do uprawiania. W sieci przybywa niedoświadczonych użytkowników z różnych grup wiekowych, zwiększa się chaos informacyjny, liczba serwisów, form dystrybucji treści, a także domen internetowych. Ten ostatni czynnik zdaje się odgrywać tu kluczową rolę. Nie chodzi tylko o liczbę nowych końcówek, ale również o możliwość rejestracji nazw ze znakami narodowymi, tzw. domen IDN.

Szczególnie dużego pola do popisu dla phisherów dostarcza cyrylica. Niektóre znaki alfabetu rosyjskiego (i innych wschodniosłowiańskich) są bowiem bardzo podobne do znaków alfabetu łacińskiego, a zarazem posiadają inny kod z rejestru Unicode – standardu, który w zamierzeniu ma obejmować znaki wszystkich pism używanych na świecie. Ponieważ format URL nie obsługuje znaków spoza zbioru ASCII, nazwy zawierające znaki narodowe poddawane są konwersji zwanej punycode, by stały się czytelne dla serwerów DNS. Tyle że w paskach przeglądarek konwersja ta nie jest widoczna – dla wygody użytkowników domeny IDN wyświetlane są jako zwykłe nazwy, zawierające np. takie znaki, jak „ę”, „ó” czy litery innych alfabetów narodowych.

Ten „dwoisty” charakter domen IDN pozwala na wprowadzanie internautów w błąd, często w złej wierze, np. w celu wyłudzenia danych osobowych lub pieniędzy. Przykładem tego, jak mylące może być działanie phisherów wykorzystujących graficzne podobieństwo adresów ze znakami o odmiennych kodach unicode, jest domena аррӏе.com. Z pozoru wygląda ona na adres znanej firmy komputerowej, ale w istocie jest nazwą złożoną ze znaków cyrylicy, w której litery przypominające łacińskie „p” są de facto znakami odpowiadającemu łacińskiemu „r”.

Sprawę tej domeny oraz phishingu opartego o nazwy IDN opisał niedawno serwis Niebezpiecznik.pl, przypominając, że tego typu triki są wykorzystywane od kilkunastu lat. Jednak w realiach rosnącej popularności nowych domen i adresów IDN podobne działania mogą być coraz częściej stosowane w celu oszukania nawet doświadczonych internautów. Po wejściu na „cyryliczną” wersję domeny Apple.com oczywiście trudno nie zorientować się, że adres jest „podejrzany”. Oto, jak wygląda strona znajdująca się pod tą nazwą.

O bezpieczeństwie teoretycznie świadczy zielona kłódka w rogu paska adresu, jednak, jak przypomina redakcja „Niebezpiecznika”, certyfikaty SSL informują jedynie o szyfrowanym połączeniu, a nie o intencjach właściciela strony. Ponadto certyfikaty te przyznawane są lekką ręką przez niektórych wystawców.

W sytuacji, gdy pojawią się wątpliwości, czy dana domena jest tą właściwą, można je rozwikłać wprost sposób – wpisując pożądany adres do wyszukiwarki i wchodząc na stronę z poziomu wyników wyszukiwania.

Tagi: ASCII, cyrylica, IDN, Niebezpiecznik.pl, phishing, Punycode, Unicode, znaki narodowe