Il nuovo sistema anti-phishing di Facebook rileva gli attacchi omografici

Mag 04, 2018 Marco Schiaffino News, Phishing, RSS, Tecnologia 1

Gli sviluppatori di Menlo Park hanno aggiornato il sistema per individuare i domini registrati usando caratteri stranieri che possono ingannare i visitatori.

Nel panorama delle minacce informatiche, il phishing continua a occupare un ruolo di primo piano. Se da una parte i prodotti per la sicurezza e i servizi online stanno introducendo strumenti sempre più efficaci per contrastarlo (come il controllo dei siti visitati e i sistemi di autenticazione a due fattori) dall’altra i pirati dimostrano di possedere strumenti e creatività sufficienti per continuare nella loro attività aggirando sistematicamente gli strumenti di mitigazione messi in campo dai “good guys”.

Una buona notizia arriva però da Facebook, che in questi giorni ha annunciato un aggiornamento del suo servizio di Monitoraggio della trasparenza dei certificati, una piattaforma che il social network mette a disposizione degli sviluppatori e che consente di individuare siti Internet potenzialmente utilizzati per portare attacchi di phishing.

Il servizio, in pratica, esegue una scansione dei nuovi certificati che vengono emessi, allo scopo di individuare i siti Internet che hanno un nome simile (troppo simile) a quello di servizi conosciuti. In molti casi, infatti, i pirati informatici usano siti Internet con nomi che ricordano quelli originali (per esempio SecuritiInfo.it) in modo da ingannare le potenziali vittime quando vengono attirate sulle pagine malevole.

La funzione di Facebook consente ai legittimi proprietari di sapere subito (anche impostando un avviso automatico via email) quando compare un nuovo sito con caratteristiche di questo tipo in modo che possano reagire per tempo. Come? Per esempio contattando l’ente che ha emesso il certificato digitale del sito sospetto per chiedergli di revocarlo, o chiedendo agli sviluppatori di browser di inserire il sito in black list.

Attivando il monitoraggio su un dominio, si possono ricevere notifiche tempestive quando compare un potenziale sito di phishing.

La novità riguarda la capacità del sistema di Facebook di riconoscere anche i domini che utilizzano caratteri stranieri attraverso Unicode per attirare sulle loro pagine visitatori che scambiano il sito malevolo per una pagina legittima.

L’obiettivo è quello di bloccare i cosiddetti attacchi omografici, cioè quelli che sfruttano i caratteri internazionali per ingannare i visitatori.

Come funziona? Il sistema (di cui abbiamo accennato in questo articolo) si basa sull’idea di utilizzare caratteri che a prima vista sembrano identici a quelli che usiamo tutti i giorni, ma che in realtà i computer considerano diversi. Per esempio, se vedessimo un collegamento a www.Securịtyinfo.it saremmo portati a considerarlo corretto. Ma se guardiamo con attenzione l’indirizzo, possiamo notare che sotto la “i” c’è un puntino sospetto.

Si tratta di un carattere internazionale, che per noi è terribilmente simile a una normale “i”, ma che per un computer diventa un indirizzo completamente diverso.

Gli attacchi di questo tipo, nel corso del 2017, sono cresciuti esponenzialmente e nei mesi passati ne abbiamo riportati alcuni (per esempio questo, che non ha avuto molto successo) particolarmente subdoli.

La nuova funzione di Facebook non potrà di certo eliminare il problema, ma di sicuro è uno strumento che consente di migliorare il livello di prevenzione.

Condividi l'articolo

attacco omografico, Facebook, Marco Schiaffino, Phishing, Unicode

Maythefourth: La caduta dell'Impero Galattico è stata una questione di cattiva gestione della sicurezza Bug nei sistemi di Twitter: le password degli utenti memorizzate in chiaro