Homografos Unicode en URL's Y Cambio de Contraseñas

Hola he estado bastante ocupado y no habia tenido chance de publicar en el BLOG, pero ahora les traigo algo que me parecio interesante en estos dias...

Primero que nada vamos con dos definiciones para dejar los puntos importantes claros!
 
Homografo

Que se escribe y se pronuncia exactamente igual que otra pero tiene distinto significado.

Unicode

Es un estandar de codificacion de caracteres diseñado para facilitar el tratamiento informatico, transmision y visualizacion de textos de multiples lenguajes y disciplinas tecnicas, ademas de textos clasicos de lenguas muertas.

Muchas personas usaban estos caracteres unicode, recuerdo en la red de metroflog, para usar sus "caritas lindas" al escribir un mensaje.

Aqui les dejo una tabla unicode con los caracteres mas populares:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Ahora si a lo que vamos...


No se si hayan escuchado el termino "phishing" que es cuando atraes al usuario a entrar a una URL donde esta montado un SCAM (pagina falsa) en la cual tus datos importantes son capturados.

Bueno pues la mayoria de estos sitios son identificados por las URL's que manejan son poco "confiables" o simplemente por que son reportadas como tales (paginas phishing), veamos un ejemplo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

seria una url muy parecida a la de facebook exepto que tiene la "l" ahi... esto seria una buena URL para una pagina falsa... pero que pasa si los caracteres no son mas que parecidos visualmente (homografo)... Ejemplo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

si miras esa "f" es una F codificada en Unicode... Pero el dominio sigue siendo el mismo... o Parecido visualmente... Por lo cual la gente puede caer en unos de estos ataques rapidamente (Tambien podemos incluir un open redirect una vulnerabilidad comun hoy en dia).
  Les dejo dos paginas para que puedan realizar esto de una manera ilustrativa:
  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
   Ahora el otro tipo de ataque que les comentaba era el cambio de contraseñas, por medio de este mismo ataque, hace poco escuche que hicieron un ataque parecido a github.
  Digamos este caso:
  Tenemos un correo que esta registrado en una pagina y se llama:
  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  Entonces, nosotros al poner olvide mi contraseña es obvio que va enviar un codigo... al correo o al numero de telefono asociado a la cuenta.
  En caso de que la aplicacion este mal programada podemos hacer uso de un correo muy parecido visualmente (homografo), ejemplo:
 
ａｒｔｈｕｓｕ@micorreo.com

Cremos un dominio con No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, y es obvio que nos llegara un correo con el link para establecer una nueva contraseña.
  Eso es todo en esta entrada, no inclui imagenes, no inclui pruebas, pero les dejo la idea por si alguna vez llegasen a intentar el ataque, no creo que se necesiten pruebas pero por si las dudas...

Un ejemplo de este ataque: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Anteriormente habia un BUG donde podias Reemplazar al usuario de un foro Usando caracteres unicode, ahora ya no existe (eso no dice que pueda existir)...

Primero, es una alegría verte por aquí. No te desaparezcas!

Luego, sobre tu aporte: Estrategias simples para la gran herramienta: la ingeniería social. Tools, técnicas, pero cómo la "reina"; ninguna.

Un abrazo @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Gabriela.

:O, entonces me estas diciendo que en paginas o foros, que te piden tu cuenta de correo para reestablecer tu contraseña, puedo poner un correo con unicode y me lo enviara a mi corre?, puede que tengas cierta verdad, pero supongo que cuando pasa esto, se usa el correo destino el que esta guardado en la base de datos, no el que fue insertado, ya que hace una comparacion.

Si no es asi corrigeme.

Saludos y muy buen post!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
:O, entonces me estas diciendo que en paginas o foros, que te piden tu cuenta de correo para reestablecer tu contraseña, puedo poner un correo con unicode y me lo enviara a mi corre?, puede que tengas cierta verdad, pero supongo que cuando pasa esto, se usa el correo destino el que esta guardado en la base de datos, no el que fue insertado, ya que hace una comparacion.

Si no es asi corrigeme.

Saludos y muy buen post!

Si bro debe estar en la base de datos, pero no hace una comprobacion correcta en los caracteres por lo cual se envia el correo y puedes intentar crear un dominio igual o unicode, un chico reporto algo parecido en github:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Otro ejemplo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Primero, es una alegría verte por aquí. No te desaparezcas!

Luego, sobre tu aporte: Estrategias simples para la gran herramienta: la ingeniería social. Tools, técnicas, pero cómo la "reina"; ninguna.

Un abrazo @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Gabriela.

Gracias Gabi!, intentare pasarme mas seguido gracias :3

Muy buena información! No conocía esa vulnerabilidad para el envío de una nueva password. En SMF podríamos probarlo con esa cuenta de "ＡNTRAX ".

Saludos

Crees que usando un servidor de correo caseo como squirrelMail funcione efectivamente este ataque?

¡Hola, @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta!

Muy buen aporte. La ingeniería social no tiene límites.

Me alegra verte por estos lados

Saludos.