La respuesta de Arminius menciona las condiciones en las que los navegadores representan punycode en lugar de los glifos de Unicode reales. En mi experiencia, estas condiciones no son suficientes: por ejemplo, la URL enlace (el enlace es seguro, pero podría ser un sitio de phishing). Chrome lo codifica, pero no lo hace Firefox:
Aquíestálasoluciónqueyopersonalmenteuso.Puedeserunaexageración,peroprotegeexactamentecontraesteataque.
Esunrequisitoprevioparaestasoluciónque,cuandoestéapuntodeingresarcualquiercredencialencualquiersitioweb,siemprelealabarradedireccionesantesdeingresarcualquierinformación.*Debehacerlodetodosmodos.!Peroenrealidadesnecesarioparaloquesigue.
Miprocedimientoessimple.Antesdeingresarlascredenciales,copioeltextoenlabarradedireccionesyluegoejecutoelprogramahexob
,quehedefinidodelasiguientemanera(enunarchivo~/bin/hexob
):
#!/bin/shxsel-ob|xxd|xmessage-file-
EsteprogramamuestralasunidadesdecódigoparalacodificaciónUTF-8delportapapelesenuncuadrodemensaje,comoeste:
PuedoverificarrápidamenteleyendoelhostqueesteesunURLdeiniciodesesiónválido:comoelhostaparececorrectamenteenelladoderecho,todoslospuntosdecódigodelhostestánenASCII.
Porotrolado,sialguienmehubieravinculadoa enlace , que ejemplifica un ataque de homógrafo, entonces el cuadro de mensaje tendría este aspecto:
Aquí,veolasunidadesdecódigoparalacodificaciónUTF-8dehttps://аррӏе.com/
,queesmuydiferentedelacodificaciónUTF-8dehttps://apple.com/
.LamayoríadelospuntosdecódigonoestánenASCII,porloquesusunidadesdecódigoUTF-8tienenelMSBestablecidoy,porlotanto,aparecencomounacantidadde.
senelladoderecho.Siveo.
senelladoderechoenlapartedelhostdelaURL,medetengoynoingresoningunacredencial.
EscriboC-lC-cSuper-phexobRET
paracompletartodoesteproceso,locualtomasolounossegundos.(MiSuper-p
podríasersuAlt-F2
osimilar).
*Tengaencuentaquedebehacerestocadavezqueestéapuntodeingresardatos.Porejemplo,siestáiniciandosesiónenGoogleeingresasucontraseña,entoncesGoogledice"contraseña incorrecta", usted debe ejecutar este procedimiento nuevamente. Esto se debe a que la página de inicio de sesión de Google tiene un redireccionamiento abierto: puedo crear una página que lo dirija al sistema de inicio de sesión actual de Google y, después de iniciar sesión, lo redirige automáticamente a mi página de phishing que se ve exactamente como El sistema de inicio de sesión de Google está controlado por mí.