This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

1. 개요

This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

해석하면 Chrome, Firefox, Opera Web Browser에서 발견하기 거의 불가능한 피싱 공격.. 쯤 될려나..

원문 보기 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

참고 : https://www.xudongz.com/blog/2017/idn-phishing/

요약해서...

데모를 확인해보면 apple.com 으로 링크된 페이지를 클릭하면 

피싱 사이트로 연결된다. -_-

2. 분석

분명 링크된 페이지는 apple.com 으로 연결되는데 어떻게 피싱 사이트로 연결되는가?

답은 퓨니코드(punycode)와 키릴(Cyrillic) 문자에 있다.

퓨니코드를 이용하면 도메인 이름에 모든 유니코드 문자를 사용할 수 있기 때문에, IDNA를 사용하여 피싱공격을 할 수 있다.

예를 들어 "wikipedia.org"라는 도메인을 스푸핑하기 위해서 "wikipеdiа.org"(IDNA에서 xn--wikipdi-8fg6b.org) 도메인을 사용할 수 있다. 굵게 표시한 키릴 문자는 보통 로마자와 비슷하거나 같게 보이기 때문에 사용자가 같은 도메인이라 인식할 가능성이 높아진다.

출처 : https://ko.wikipedia.org/wiki/%ED%93%A8%EB%8B%88%EC%BD%94%EB%93%9C

좀 더 설명하면..

2005년 다국어 도메인은 '동형 이의어 스푸핑 공격(Homograph Spoofing Attacks)'에 대한 취약점이 발견되었다. 예를 들어, 유니코드 코드 포인트가 U+0430인 키릴 문자(Cyrillic) 'a'는 유니코드 코드 포인트가 U+0061인 라틴어 소문자 'a'와 코드 포인트는 다르지만 모양이 동일하다. 이용자가 키릴 문자 다국어 도메인 'xn--pypal-4ve.com' 접속 시 웹브라우저 주소창에는 'pаypal.com'로 표시되어 이용자를 혼동시키고 해킹에 악용될 소지가 있는 것이다.

출처 : http://networkers.egloos.com/1120623

즉, https://xn--80ak6aa92e.com/ 접속 시 Chrome, Firefox, Opera Web Browser에서는 Unicode (다국어) 형태로 URL을 보여주기 때문에 apple.com 으로 접속한 것처럼 속일 수 있다는 것이다.

- 소스를 확인해보면 이해가 빠르다.

- explorer에서는 https://xn--80ak6aa92e.com/ 그대로 노출된다.

3. 대응방안

- 잘 알려진 사이트가 피싱 대상이 되므로 포탈사이트나 검색사이트에서 조회해서 안전하게 접속하는 방법

- 직접 URL을 입력하여 접속하는 방법

- 잘 알지 못하는 사이트에서는 링크 타고 접속하지 않기

- URL을 퓨니코드로 보여지도록 웹 브라우저 설정하기

- Chrome, Firefox, Opera Web Browser가 이 문제를 해결하기 전까지 쓰지 말기 -_-

- 피싱에 자주에용되는 금융, 포탈, 쇼핑몰 등은 이미 SSL이 구축되어 있으므로 SSL 인증서 정보 확인하기 등이 있다.

알아야 속지 않으니, 잘 기억해두자!!

참고 : 

- 한글-퓨니코드 변환기 : https://whois.kisa.or.kr/idnconv/index.jsp

P.S :

- 2017.4.17에 포스팅 된 글을 소개했지만, 이미 2005년도 관련 기법은 공개되었다. (원문에서는 2001년 Homograph 공격으로 알려져 있다고 한다...)

- 현재까지도 Chrome, Firefox, Opera Web Browser에서 해당 기법을 사용하여 공격할 수 있음을 시연했다.

  해당 브라우저들은 신뢰할 수 있는 도메인만 원래 의도된 유니코드 이름으로 보여주는 방식을 사용한다.

  하지만, 이 공격은 SSL을 이용함으로써 웹 브라우저로 하여금 신뢰할 수 있는 도메인으로 믿게끔 해당 기능을 역으로 이용한 것으로 보여진다.

사파리, 파이어폭스, 오페라 웹 브라우저는 이 문제를 해결하기 위해 국제화된 웹사이트에 접속하는 것을 제한하는 대신, 신뢰할 수 있는 도메인만 원래 의도된 유니코드 이름으로 보여 주고 그렇지 않은 도메인은 "xn--"으로 시작하는 퓨니코드 이름으로 보여 주는 방법을 쓴다. 단 ISO 8859-1에 있는 문자들은 섞여 쓰여도 이 취약점을 쓸 수 있는 가능성이 적기 때문에, 명시적으로 허용하지 않아도 유니코드 이름으로 표시된다. 사파리도 보안 업데이트 2005-003 이후로 특히 피싱에 잘 사용되는 그리스 문자, 키릴 문자, 체로키어가 들어 있는 도메인을 이와 비슷한 방법으로 표시하는 방법을 사용하고 있다.  출처 : https://ko.wikipedia.org/wiki/%ED%93%A8%EB%8B%88%EC%BD%94%EB%93%9C