Homografos Unicode en URL's Y Cambio de Contraseñas

Hola he estado bastante ocupado y no habia tenido chance de publicar en el BLOG, pero ahora les traigo algo que me parecio interesante en estos dias...

Primero que nada vamos con dos definiciones para dejar los puntos importantes claros!
 
Homografo

Que se escribe y se pronuncia exactamente igual que otra pero tiene distinto significado.

Unicode

Es un estandar de codificacion de caracteres diseñado para facilitar el tratamiento informatico, transmision y visualizacion de textos de multiples lenguajes y disciplinas tecnicas, ademas de textos clasicos de lenguas muertas.

Muchas personas usaban estos caracteres unicode, recuerdo en la red de metroflog, para usar sus "caritas lindas" al escribir un mensaje.

Aqui les dejo una tabla unicode con los caracteres mas populares:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Ahora si a lo que vamos...


No se si hayan escuchado el termino "phishing" que es cuando atraes al usuario a entrar a una URL donde esta montado un SCAM (pagina falsa) en la cual tus datos importantes son capturados.

Bueno pues la mayoria de estos sitios son identificados por las URL's que manejan son poco "confiables" o simplemente por que son reportadas como tales (paginas phishing), veamos un ejemplo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

seria una url muy parecida a la de facebook exepto que tiene la "l" ahi... esto seria una buena URL para una pagina falsa... pero que pasa si los caracteres no son mas que parecidos visualmente (homografo)... Ejemplo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

si miras esa "f" es una F codificada en Unicode... Pero el dominio sigue siendo el mismo... o Parecido visualmente... Por lo cual la gente puede caer en unos de estos ataques rapidamente (Tambien podemos incluir un open redirect una vulnerabilidad comun hoy en dia).
  Les dejo dos paginas para que puedan realizar esto de una manera ilustrativa:
  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
   Ahora el otro tipo de ataque que les comentaba era el cambio de contraseñas, por medio de este mismo ataque, hace poco escuche que hicieron un ataque parecido a github.
  Digamos este caso:
  Tenemos un correo que esta registrado en una pagina y se llama:
  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
  Entonces, nosotros al poner olvide mi contraseña es obvio que va enviar un codigo... al correo o al numero de telefono asociado a la cuenta.
  En caso de que la aplicacion este mal programada podemos hacer uso de un correo muy parecido visualmente (homografo), ejemplo:
 
ａｒｔｈｕｓｕ@micorreo.com

Cremos un dominio con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y es obvio que nos llegara un correo con el link para establecer una nueva contraseña.
  Eso es todo en esta entrada, no inclui imagenes, no inclui pruebas, pero les dejo la idea por si alguna vez llegasen a intentar el ataque, no creo que se necesiten pruebas pero por si las dudas...

Un ejemplo de este ataque: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Anteriormente habia un BUG donde podias Reemplazar al usuario de un foro Usando caracteres unicode, ahora ya no existe (eso no dice que pueda existir)...

Primero, es una alegría verte por aquí. No te desaparezcas!

Luego, sobre tu aporte: Estrategias simples para la gran herramienta: la ingeniería social. Tools, técnicas, pero cómo la "reina"; ninguna.

Un abrazo @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Gabriela.

:O, entonces me estas diciendo que en paginas o foros, que te piden tu cuenta de correo para reestablecer tu contraseña, puedo poner un correo con unicode y me lo enviara a mi corre?, puede que tengas cierta verdad, pero supongo que cuando pasa esto, se usa el correo destino el que esta guardado en la base de datos, no el que fue insertado, ya que hace una comparacion.

Si no es asi corrigeme.

Saludos y muy buen post!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
:O, entonces me estas diciendo que en paginas o foros, que te piden tu cuenta de correo para reestablecer tu contraseña, puedo poner un correo con unicode y me lo enviara a mi corre?, puede que tengas cierta verdad, pero supongo que cuando pasa esto, se usa el correo destino el que esta guardado en la base de datos, no el que fue insertado, ya que hace una comparacion.

Si no es asi corrigeme.

Saludos y muy buen post!

Si bro debe estar en la base de datos, pero no hace una comprobacion correcta en los caracteres por lo cual se envia el correo y puedes intentar crear un dominio igual o unicode, un chico reporto algo parecido en github:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otro ejemplo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Primero, es una alegría verte por aquí. No te desaparezcas!

Luego, sobre tu aporte: Estrategias simples para la gran herramienta: la ingeniería social. Tools, técnicas, pero cómo la "reina"; ninguna.

Un abrazo @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Gabriela.

Gracias Gabi!, intentare pasarme mas seguido gracias :3

Muy buena información! No conocía esa vulnerabilidad para el envío de una nueva password. En SMF podríamos probarlo con esa cuenta de "ＡNTRAX ".

Saludos

Crees que usando un servidor de correo caseo como squirrelMail funcione efectivamente este ataque?

¡Hola, @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login!

Muy buen aporte. La ingeniería social no tiene límites.

Me alegra verte por estos lados

Saludos.