¿Cómo defenderse contra los ataques de homógrafos?

Los proveedores de navegadores ya intentan protegerlo de los ataques homógrafos mediante la aplicación de políticas como los IDN ( Nombres de dominio internacionalizados ) debe mostrarse en la barra de URL.

Sus medidas incluyen una lista negra de símbolos potencialmente confusos (por ejemplo, ֊ , el "guión armenio" U + 058A) y mostrar las URL con caracteres de alfabetos no latinos como Punycode bajo ciertas condiciones. Por lo tanto, si usted visita

https://wikipediа.org

la URL se mostrará en su barra de URL como

https://xn--wikipedi-86g.org/

siguiendo las reglas de conversión de Punycode, que puede distinguir fácilmente de wikipedia.org .

Si está interesado en el algoritmo específico que utiliza su navegador para mostrar los IDN, consulte:

• Algoritmo de visualización de IDN de Mozilla

• Google Chrome's Política de IDN

Sin embargo, convertir IDN incorrectos al tiempo que se mantiene la facilidad de uso (por ejemplo, aún desea mostrar un ä literal a alguien en Alemania) ha resultado ser un tanto esquivo, por lo que incluso en 2018 han surgido nuevos ataques.

Si no confía en la protección integrada de su navegador, también hay una extensión de navegador disponible que le advierte sobre los dominios de IDN (como señala @defalt). O puede elegir una forma manual de detección, como @wchargin describe en su respuesta .

La respuesta de Arminius menciona las condiciones en las que los navegadores representan punycode en lugar de los glifos de Unicode reales. En mi experiencia, estas condiciones no son suficientes: por ejemplo, la URL enlace (el enlace es seguro, pero podría ser un sitio de phishing). Chrome lo codifica, pero no lo hace Firefox:

Aquíestálasoluciónqueyopersonalmenteuso.Puedeserunaexageración,peroprotegeexactamentecontraesteataque.

Esunrequisitoprevioparaestasoluciónque,cuandoestéapuntodeingresarcualquiercredencialencualquiersitioweb,siemprelealabarradedireccionesantesdeingresarcualquierinformación.*Debehacerlodetodosmodos.!Peroenrealidadesnecesarioparaloquesigue.

Miprocedimientoessimple.Antesdeingresarlascredenciales,copioeltextoenlabarradedireccionesyluegoejecutoelprogramahexob,quehedefinidodelasiguientemanera(enunarchivo~/bin/hexob):

#!/bin/shxsel-ob|xxd|xmessage-file-

EsteprogramamuestralasunidadesdecódigoparalacodificaciónUTF-8delportapapelesenuncuadrodemensaje,comoeste:

PuedoverificarrápidamenteleyendoelhostqueesteesunURLdeiniciodesesiónválido:comoelhostaparececorrectamenteenelladoderecho,todoslospuntosdecódigodelhostestánenASCII.

Porotrolado,sialguienmehubieravinculadoa enlace , que ejemplifica un ataque de homógrafo, entonces el cuadro de mensaje tendría este aspecto:

Aquí,veolasunidadesdecódigoparalacodificaciónUTF-8dehttps://аррӏе.com/,queesmuydiferentedelacodificaciónUTF-8dehttps://apple.com/.LamayoríadelospuntosdecódigonoestánenASCII,porloquesusunidadesdecódigoUTF-8tienenelMSBestablecidoy,porlotanto,aparecencomounacantidadde.senelladoderecho.Siveo.senelladoderechoenlapartedelhostdelaURL,medetengoynoingresoningunacredencial.

EscriboC-lC-cSuper-phexobRETparacompletartodoesteproceso,locualtomasolounossegundos.(MiSuper-ppodríasersuAlt-F2osimilar).

*Tengaencuentaquedebehacerestocadavezqueestéapuntodeingresardatos.Porejemplo,siestáiniciandosesiónenGoogleeingresasucontraseña,entoncesGoogledice"contraseña incorrecta", usted debe ejecutar este procedimiento nuevamente. Esto se debe a que la página de inicio de sesión de Google tiene un redireccionamiento abierto: puedo crear una página que lo dirija al sistema de inicio de sesión actual de Google y, después de iniciar sesión, lo redirige automáticamente a mi página de phishing que se ve exactamente como El sistema de inicio de sesión de Google está controlado por mí.

Otra cosa que no se menciona en las otras respuestas: además de sus otros beneficios, un administrador de contraseñas lo ayudará a protegerse contra esos ataques: sus credenciales guardadas para www.google.com no se completarán automáticamente en www.googIe.com (el segundo hasta el último carácter es una I mayúscula), dando a entender que algo está apagado. Debe copiar y pegar la contraseña de forma manual y explícita para iniciar sesión en ese sitio.