miércoles, 19 de octubre de 2016

Homografos Unicode en URL's Y Cambio de Contraseñas

Hola he estado bastante ocupado y no habia tenido chance de publicar en el BLOG, pero ahora les traigo algo que me parecio interesante en estos dias...

Primero que nada vamos con dos definiciones para dejar los puntos importantes claros!
 

Homografo

Que se escribe y se pronuncia exactamente igual que otra pero tiene distinto significado.

Unicode

Es un estandar de codificacion de caracteres diseñado para facilitar el tratamiento informatico, transmision y visualizacion de textos de multiples lenguajes y disciplinas tecnicas, ademas de textos clasicos de lenguas muertas.

Muchas personas usaban estos caracteres unicode, recuerdo en la red de metroflog, para usar sus "caritas lindas" al escribir un mensaje.

Aqui les dejo una tabla unicode con los caracteres mas populares:
http://unicode-table.com/es/


Ahora si a lo que vamos...



No se si hayan escuchado el termino "phishing" que es cuando atraes al usuario a entrar a una URL donde esta montado un SCAM (pagina falsa) en la cual tus datos importantes son capturados.

Bueno pues la mayoria de estos sitios son identificados por las URL's que manejan son poco "confiables" o simplemente por que son reportadas como tales (paginas phishing), veamos un ejemplo:

www.faceboolk.com

seria una url muy parecida a la de facebook exepto que tiene la "l" ahi... esto seria una buena URL para una pagina falsa... pero que pasa si los caracteres no son mas que parecidos visualmente (homografo)... Ejemplo:

www.facebook.com

si miras esa "f" es una F codificada en Unicode... Pero el dominio sigue siendo el mismo... o Parecido visualmente... Por lo cual la gente puede caer en unos de estos ataques rapidamente (Tambien podemos incluir un open redirect una vulnerabilidad comun hoy en dia).

Les dejo dos paginas para que puedan realizar esto de una manera ilustrativa:

http://www.irongeek.com/homoglyph-attack-generator.php
http://savanttools.com/unicode-to-ascii.asp


Ahora el otro tipo de ataque que les comentaba era el cambio de contraseñas, por medio de este mismo ataque, hace poco escuche que hicieron un ataque parecido a github.

Digamos este caso:

Tenemos un correo que esta registrado en una pagina y se llama:

arthusu@micorreo.com

Entonces, nosotros al poner olvide mi contraseña es obvio que va enviar un codigo... al correo o al numero de telefono asociado a la cuenta.

En caso de que la aplicacion este mal programada podemos hacer uso de un correo muy parecido visualmente (homografo), ejemplo:


arthusu@micorreo.com

Cremos un dominio con micorreo.com, y es obvio que nos llegara un correo con el link para establecer una nueva contraseña.

Eso es todo en esta entrada, no inclui imagenes, no inclui pruebas, pero les dejo la idea por si alguna vez llegasen a intentar el ataque, no creo que se necesiten pruebas pero por si las dudas...
 

No hay comentarios:

Publicar un comentario en la entrada