La extensión de Chrome que detecta ataques de Homografía en URL (Unicode)
El equipo de Phish.ai ha desarrollado y lanzado una extensión de Google Chrome que puede detectar cuándo los usuarios están accediendo a dominios escritos con caracteres Unicode no estándar y advertir a los usuarios sobre el potencial de un ataque homógrafo.
Los malhechores a menudo usan dichos dominios intencionalmente mal escritos para atraer a los usuarios en sitios de phishing, donde recopilan credenciales de los usuarios o engañan a las víctimas para que descarguen archivos atados con malware.
Cómo funcionan los ataques homógrafos
Esto es posible porque hace más de una década la ICANN ha permitido el registro de nombres de dominio internacionalizados, regionalizados para varios idiomas y alfabetos, escritos con caracteres Unicode.
Algunos de estos caracteres Unicode son visualmente idénticos a los caracteres latinos estándar. Este parecido visual ha abierto la puerta para que los atacantes registren dominios que pueden engañar a los usuarios que no prestan mucha atención a la cadena de URL.
Por ejemplo, los usuarios deben mirar muy de cerca a coịnbạse.com para notar los pequeños puntos debajo de los caracteres "i" y "a".
Intentar engañar a los usuarios que utilizan dichos dominios se denomina ataque homógrafo de nombre de dominio internacionalizado (IDN) o ataque Unicode.
Dichos ataques se han vuelto populares en los últimos años, con varios incidentes reportados el año pasado.
Algunos navegadores protegen mejor a los usuarios que otros
Algunos navegadores han respondido sustituyendo los caracteres Unicode por Punycode, una representación basada en ASCII de caracteres Unicode. Por ejemplo, en lugar de coịnbạse.com, algunos navegadores como Edge o Vivaldi mostrarán xn--conbse-zc8b7m.com, lo que resalta claramente que hay algo mal con la URL.
Pero Chrome y Firefox no muestran la versión de Punycode de la URL de forma predeterminada. Para Firefox, mostrar los dominios Unicode en Punycode requiere que los usuarios cambien un indicador en la sección about:config.
Solo hay que poner el valor "IDN_show_punycode" en true para habilitar la detección de ataques homógraficos.
Chrome, por otro lado, muestra la versión URL Punycode en la barra de título, pero no en la barra de direcciones. Aquí es donde la extensión de Phish.ai ayuda, mostrando una gran ventana roja cada vez que el usuario intenta acceder a un dominio que contiene caracteres Unicode.
El mensaje de error es similar a la alerta de Navegación segura y bloqueará el acceso al sitio, lo que obligará al usuario a responder y prestar atención a la URL.
El código fuente de la extensión Phish.AI IDN Protect Chrome está disponible en GitHub y la extensión también está disponible en la Chrome Web Store, para una fácil instalación.