Hoy os vamos a hablar de un tipo de phishing casi imposible de detectar: los ataques homográficos o Punycode.  En estos ataques se utilizan URLs aparentemente idénticas a las de páginas legítimas. Sin embargo, aunque prácticamente imperceptibles para el ojo humano, existen diferencias.  En los ataques punycode, los hackers se aprovechan del diferente tratamiento que la mente de un usuario y la programación dan a dos caracteres aparentemente idénticos

Para entenderlo un poco mejor vamos a bajar un escalón y explicar la diferencia entre IDNs y DNS:

IDNs o Nombres de Dominios Internacionalizados

DNS o Sistema de Nombres de Dominios

Conjunto de caracteres unicode: incluye acentos, símbolos y caracteres especiales. Conjunto de caracteres más limitado:  ASCII: 0-9; A-Z y guion (-)
Alfabetos NO latinos. Ejemplos: Alfabeto Griego, Armenio, Cirílico o Chino Alfabeto latino

Para que aquellos países o lenguas con conjuntos de caracteres más amplios puedan usar el mismo DNS que el resto de las regiones o alfabetos, se creó el punycode. Un método de codificación que permite que los caracteres unicode (utilizados por los IDNs) sean convertidos al conjunto de caracteres ASCII (único subconjunto de caracteres reconocidos por el sistema de nombre de dominio DNS). En otras palabras, el método de codificación punycode permite remplazar caracteres unicode por caracteres ASCII.

El problema surge con aquellos caracteres que son idénticos o prácticamente idénticos

Por ejemplo, la “e” en el alfabeto latino es, visualmente, exactamente igual a un carácter en el alfabeto cirílico “e”. Sin embargo, son caracteres que no tienen nada que ver entre sí y cuyo significado no podría ser más diferente.

Los hackers, aprovechan estas “casualidades” para reemplazar caracteres ASCII por caracteres unicode, conscientes de que la víctima no se dará cuenta del engaño.

Ahora bien, la probabilidad de que un usuario se equivoque y mezcle caracteres unicode con caracteres ASCII es prácticamente nula, por lo que el modelo seguido en los ataques typosquatting no sería válido en este caso. Esto hace que, en la gran mayoría de casos, se utilicen enlaces incluidos en emails para engañar a las víctimas (de ahí que los ataques punycode sean un tipo de phishing).

Un ejemplo de todo esto sería el siguiente:

Caracteres ASCII Caracteres Unicode
waitrose.com waıtrose.com

En un email lleno de texto, es muy probable que se nos pase por alto que, en el segundo caso, la “i” no lleva punto y caeremos en la trampa.

Como medida de protección o al menos, de aviso a los usuarios, algunos navegadores web utilizan el prefijo “xn”  para indicar que el dominio está usando el método de codificación punycode para representar caracteres unicode,  pero ni siquiera todos los navegadores lo hacen.

Actualmente, la única solución del mercado capaz de garantizar la protección frente a este tipo de ataque es RITech. Gracias a su capacidad de aislamiento, RITech permite a los usuarios hacer clic en cualquier enlace y visualizar el contenido de forma aislada. Evitando así, que ningún enlace o contenido malicioso  pueda llegar a  infectar el dispositivo del usuario y, por tanto, acceder a la red corporativa.

Si quieres conocer en detalle este y otros beneficios de RITech, ponte en contacto  con nosotros. Un equipo de profesionales te explicará cómo RITech puede ayudarte a proteger tu negocio.

Síguenos en Twitter y LinkedIn para estar al tanto de las últimas actualizaciones