Atak za pośrednictwem punycode to jedna z najpopularniejszych technik phishingowych. Polega na wykorzystaniu podobieństwa domen ze znakami IDN do ich „pierwowzorów”. Niestety jest to metoda stosunkowo trudna do wykrycia dla większości internautów.

Punycode to kod, który – mówiąc łopatologicznie – pozwala przeglądarkom na wyświetlanie adresów IDN w formie zrozumiałej dla odbiorcy. Ujmując rzecz ściślej, punycode dokonuje konwersji znaków non-ASCII ze zbioru Unicode do znaków ASCII.

ASCII to siedmiobitowy system kodowania, obejmujący 127 znaków, m.in. znaki alfabetu łacińskiego, cyfry i znaki interpunkcyjne. Unicode ma znacznie większe możliwości. Dzięki 32-bitowemu systemowi kodowania pozwala na obsługę do 2 147 483 647 znaków. W odróżnieniu od ASCII Unicode wspiera więc znaki alfabetów innych niż łaciński, np. arabskiego, greckiego czy rosyjskiego. Dzięki punycode znaki Unicode niedostępne w ramach ASCII mogą być wyświetlane w pasku adresu. Przykładowa konwersja znaków obu systemów wygląda następująco:
www.kraków.pl (Unicode) → www.xn--krakw-3ta.pl (punycode).

Jakie to wszystko ma znaczenie dla bezpieczeństwa w sieci? Bardzo istotne. Domeny IDN, oparte na znakach non-ASCII i konwersji punycode wykorzystywane są przez phisherów do rozmaitych ataków i wyłudzania danych osobowych lub haseł. Mechanizm jest prosty: chodzi o podszywanie się pod wiarygodne adresy za pomocą ich łudząco podobnych odpowiedników non-ASCII. Przykłady takich par adresów, obejmujących znane marki, opublikował serwis Wandera. Z kodu punycode można wywnioskować, metodą eliminacji, która litera adresu jest „trefna” – to ta, której brakuje w nazwie.

W takich przypadkach litery będące znakami IDN są często trudne do odróżnienia na pierwszy rzut oka od liter w oryginalnych wersjach adresu. W efekcie łatwo dać się nabrać i kliknąć w link podsunięty przez phishera. „Trefne” znaki mogą pochodzić z rozmaitych alfabetów, jak turecki, grecki, rosyjski czy wietnamski. Czasem różnicę czyni kropka, kreska lub innego typu znak diakrytyczny. W innych przypadkach chodzi o subtelną różnicę w kształcie litery.

Redakcja Wandera zwraca uwagę, że ataki z użyciem punycode są łatwiejsze do przeprowadzenia na urządzeniach mobilinych ze względu na mniejszy format ekranu, przez który adresy są trudniejsze do odczytania. W dodatku systemy operacyjne często ukrywają pasek adresu podczas przewijania, utrudniają weryfikację domeny. Jedynym sposobem na uniknięcie ataku jest więc świadomość zagrożenia i stosowanie odpowiednich środków ostrożności, np. zasady ograniczonego zaufania w sytuacji, gdy otrzymujemy linki z ofertami lub kopiowanie adresów z oryginalnych stron, gdy link wyda nam się dziwny lub niegodny zaufania.

Istnieje też możliwość instalacji rozszerzeń do przeglądarek lub zmiany ustawień, która pozwoli na wyświetlanie adresów punycode. W Firefoxie taka opcja dostępna jest za pośrednictwem adresu about:config i ustawienie wartości true dla parametru network.IDN_show_punycode.

Tagi: ASCII, bezpieczeństwo danych, IDN, phishing, Punycode, Unicode, Wandera