El pasado lunes, los compañeros de SoftZone hacía eco de un nuevo ataque de Phishing totalmente indetectable que afectaba a Google Chrome, Firefox y Opera que se aprovechaba de caracteres similares, no diferenciados por los navegadores, para hacerse pasar por una dirección URL cuando, en realidad, estábamos refiriéndonos a otra totalmente diferente. Aunque estos navegadores no nos protegen, aún, de este tipo de ataques informáticos, es posible protegernos hasta que llegue la solución definitiva gracias a una extensión llamada “Punycode Alert”.
Mediante esta técnica, un atacante podría enviarnos una URL como “xn--espaa-rta.com” que, al procesarse en nuestro navegador, aparecería simplemente como “españa.com“. Como vemos, este tipo de ataques son muy complicados de detectar ya que la URL, tal como aparece en nuestro navegador, parece totalmente de fiar, incluso puede tener un certificado HTTPS generado por los piratas informáticos, aunque, en realidad, estamos visitando una web que puede ser utilizada, por ejemplo, para robar nuestros datos o hacernos descargar un archivos que, en realidad, esconde malware.
Aunque Google, por ejemplo, ya está trabajando en la solución que llegará con el próximo Google Chrome 58, previsto para este mismo mes, por el momento los navegadores no nos protegen de este peligro. Por suerte, un grupo de desarrolladores ha creado una extensión, llamada “Punycode Alert” que se encargará de comprobar las direcciones URL que se cargan en nuestro navegador y nos avisará cuando una de ellas esté formada de esta forma y pueda estar siendo utilizada por piratas informáticos.
Cómo protegernos de estos ataques de Phishing con Punycode Alert
Punycode Alert es una extensión para Google Chrome, Chromium y Opera diseñada para controlar las URLs que visitamos y avisarnos cuando alguna de ellas esté utilizando la técnica Punycode para hacerse pasar por otra dirección URL.
Esta extensión es totalmente gratuita para todos los usuarios y se puede descargar directamente desde la tienda de extensiones de Chrome.
Una vez descargada e instalada la extensión, esta empezará a funcionar automáticamente (aunque en nuestro caso hemos tenido que reiniciar el navegador). A partir de ahora, cuando intentemos visitar una página web que oculte su URL mediante esta técnica, la extensión nos mostrará una notificación como la siguiente informándonos de la posible amenaza.
Además, el icono de la extensión también se activará para poder tener siempre a la vista la posible amenaza.
Internet Explorer y Microsoft Edge no son vulnerables ante esta vulnerabilidad
Mientras que los navegadores web más utilizados en todo el mundo, Google Chrome y Firefox, sí que son vulnerables, los navegadores de Microsoft, Internet Explorer y el nuevo Microsoft Edge, no son vulnerables y muestran al usuario la URL real sin la falsa codificación ASCII, permitiéndoles saber en todo momento la dirección URL que están visitando realmente.
Como hemos dicho, los responsables de los navegadores vulnerables ya están trabajando en una solución que muestre a los usuarios la dirección URL sin codificar, soluciones que irán llegando a lo largo de las próximas semanas, por lo que, mientras esto ocurre, lo mejor es protegerse con una extensión como esta que nos avise siempre que se intente acceder a una URL de este estilo.
Fuente:https://www.redeszone.net/2017/04/22/extension-protegete-punycode/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad