Punycode-baserad phishingattack

Wordfence har gått ut med en varning för ett nytt allvarligt säkerhetshot. Det handlar om en ny metod för phishing som gör det möjligt att helt och hållet maskera den falska adressen, inklusive det gröna hänglåset som indikerar att du är på en säker sida.

Bristen finns i senaste versionerna av Chrome, Firefox och Opera men inte i Safari eller Internet Explorer.

Om du skriver in https://xn--e1awd7f.com/ i någon av de drabbade webbläsarna kommer du till en varningssida gjord av Wordfence, men titta i adressfältet: Det du ser är istället www.epic.com med ett grönt hänglås. Epic är ett företag i hälsobranschen, och Wordfence valde det för att visa hur en hackare kan göra en riktad attack för att komma över inloggningsuppgifter till känsliga system.

Det här är möjligt på grund av något som kallas punycode och går ut på att förvandla ascii-kodad unicode i webbadresser. Det är till för att till exempel kunna ha webbplatser vars adress ser ut att vara skriven på kinesiska, medan den i bakgrunden är en serie bokstäver och siffror. Punycode-adresser inleds med ”xn--” och ”e1awd7f” i adressen ovan utläses då ”epic”.

Genom att skaffa ett ssl-certifikat från Letsencrypt kunde Wordfence lägga till det gröna hänglåset. Om du klickar på hänglåset avslöjas bluffen – men hur många användare har för vana att kontrollera ssl-certifikat på alla webbplatser de besöker?

Google kommer släppa en fix inom några dagar. Firefox har en inställning för att stänga av punycode. Öppna about:config, sök efter punycode och ändra inställningen network.IDN_show_punycode från false till true.

Som alltid är det säkrast att själv skriva in en adress än att gå via en länk du fått i ett mejl eller som delats på ett socialt nätverk.