PSA: этот поддельный сайт Apple иллюстрирует изощренность современных фишинговых атак.

Обновление: последняя версия Chrome теперь показывает правильный URL.

Большинство фишинговых атак — ссылки, которые отправляют вас на фальшивый веб-сайт в надежде, что вы войдете в систему со своими настоящими учетными данными — обычно легко обнаружить. Письма часто носят общий характер, а не используют ваше зарегистрированное имя. Грамматика плохая или формулировка странная. Письмо будет угрожать закрытием вашей учетной записи, если вы не предпримете срочных действий и так далее.

Если вы пропустили все эти подсказки и нажали на ссылку, URL-адрес покажет, что это не тот сайт, на который он претендует. Но один демонстрационный сайт, созданный китайским исследователем безопасности, показывает, как можно посетить поддельный веб-сайт, который, по-видимому, показывает правильный URL-адрес https://www.apple.com в окне браузера…

Хитрость сайта заключается в использовании символов Unicode, которые выглядят так же, как и соответствующие символы ASCII для олицетворенного сайта, объясняет исследователь Сюдун Чжэн.

Можно зарегистрировать такие домены, как «xn--pple-43d.com», что эквивалентно «аpple.com». На первый взгляд это может быть неочевидно, но «аpple.com» использует кириллицу «а» (U + 0430), а не ASCII «а» (U + 0061). Это известно как гомографическая атака.

Safari не обманывается этим, но Chrome, Firefox и Opera — все. Вы можете убедиться в этом сами, воспользовавшись любым из них для посещения https://www.xn--80ak6aa92e.com (это совершенно безопасно, это сайт, созданный Чжэн в качестве доказательства концепции). В Safari вы увидите этот URL-адрес, как он представлен здесь, но в других браузерах он будет выглядеть точно так же, как https://www.apple.com.

Конечно, чтобы в полной мере воспользоваться этой уязвимостью, фишер должен сделать так, чтобы электронная почта, направляющая вас туда, выглядела так же убедительно, как и сайт, но многие люди одурачиваются даже наполовину убедительными электронными письмами.

Читайте также:  Как принудительно выйти из приложений Apple Watch

Этот трюк подкрепляет обычный совет: всегда посещайте веб-сайты со своих собственных закладок или вводя URL-адрес, никогда не переходите по ссылке в неожиданном электронном письме, даже если оно, похоже, принадлежит кому-то из ваших знакомых. Вы можете найти больше советов здесь.

Фишинг был одним из двух методов, использованных для получения логинов iCloud, которые использовались при атаке знаменитостей в 2014 году.

Спасибо, Фифи.

Ссылка на основную публикацию