Az adathalász (phishing) támadások nem csak azért ijesztőek, mert egy rosszul sikerült kattintással nagy csomó pénzétől és személyes adatától szabadíthatják meg az óvatlan felhasználót, hanem azért is, mert a módszerek folyamatosan fejlődnek, szinte lehetetlen naprakésznek lenni belőlük. Erre példa a legújabban felbukkant adathalász trükk, amely már a cél URL-eket is megszólalásig hasonlóvá teszi az ismert és megbízhatónak tartott forrásokhoz.

A biztonsági szakértők első számú tanácsa mindig a hivatkozások ellenőrzése: egyrészt arra szokták felhívni a figyelmet, hogy a linkek érdemi része nem a soron belüli szöveges elem, hanem az erőforrás, amire a hivatkozás mutat. Manapság ráadásul a böngészők az url mezőben már apró ikonokkal jelzik, ha megbízható címről és titkosított adatforgalomról van szó: elvileg elég, ha zölden világít a kis lakat, és boldogan kattintgathatunk az aktuális weboldalon.

Hogy ez mennyire nem így van, azt jól mutatja egy elég aljas átverés, amelyet először januárban fedezett fel egy webfejlesztő. Miután Xudong Zheng elküldte az exploit leírását a Google-nek és a Mozillának, a múlt pénteken mindenki másnak is demózta a módszert egy hamis apple.com weblap létrehozásával, ami csont nélkül át is megy a Chrome és a Firefox böngészők ellenőrzésein.

A Chrome browser gazdája, a Google a következő frissítésben ígéri a megfelelő javítást, a Firefoxot fejlesztő Mozilla azonban még csak mérlegeli, hogy egyáltalán kiadjon-e ezzel kapcsolatos patch-et. Az Apple Safari és a Microsoft Edge (illetve az Internet Explorer) elvileg megvédi a felhasználókat az ilyen típusú átverésektől.

Miről is van szó pontosan?

Talán nem közismert dolog, de sok domainnév nem a latin ábécé karaktereiből épül fel. Amikor a saját böngészőnk ilyen, mondjuk cirill vagy kínai karaktereket tartalmazó URL-lel találkozik, azokat az Unicode szabvány szerint rendereli és jeleníti meg. Abban az esetben, ha a cirill ábécé egy betűje ugyanolyan, mint egy megfelelő latin betű, kész a baj: az U+0430 kóddal hivatkozott cirill "а" és az általunk használt ASCII "a" (U+0061) például tök egyforma, miközben a gyakorlatban másik karakterről van szó.

Ezt pedig az élelmes csalók ki is használhatják: Xudong Zheng például azt mutatta be, hogy semmi akadálya regisztrálni a "https://www.xn--80ak6aa92e.com" domaint, ami ebben a felállásban éppen az "аpple.com"-nak felel meg, vagyis a hasonlóságok miatt annak látszik. Ez első látásra csak egy véletlenszerű karakterhalmaz, az Unicode kódolásban viszont egy latin betűkkel írt, de cirill karaktereket tartalmazó szöveg. Ki lehet próbálni, ebben a címben még a TLS titkosítást jelző https séma is ott figyel, biztosan megbízható: https://www.xn--80ak6aa92e.com

Oké, akkor most mi legyen?

Az adathalász támadásokkal foglalkozó biztonsági cégek eddig nem találtak rá bizonyítékot, hogy a módszert bárhol aktívan bevetették volna, vagy akár a dark weben felbukkant volna a trükköt kihasználó eszköz, mindez azonban még nem kell, hogy bárkit is megnyugtasson. Az érintett böngészők javításáig érdemes lehet megváltoztatni a beállításokat, vagyis úgy használni a browsert, hogy az a maguk valójában jelenítse meg a karakterek átfordítását végző Punycode encoder címeit.

Bár a phishing módszereket elemző biztonsági szakemberek igyekeznek fenntartani az adathalász trükkök fölötti technikai ellenőrzést, ez sosem jelenti, hogy nem bukkanhat fel bármikor egy újabb cseles ötlet. Ugyanígy igaz, hogy a módszerek felfedezése és publikálása mindig szükségszerűen felfuttatja azok alkalmazását is, így az sem lenne meglepő, ha a jövőben egyre többen próbálkoznának az Unicode alapú ravaszkodással.

Az egyetlen jó tanács most is ugyanaz, ami korábban volt: mindig érdemes megvizsgálni, hogy milyen URL-t akarunk megnyitni, és ha bármit gyanúsnak találunk, akkor egyszerűen ne kattintsunk oda. Mintha ennyire egyszerű lenne.