Una recente ricerca di Bitdefender ha evidenziato la preoccupante attualità degli attacchi omografici ai quali sembrano essere vulnerabili anche gli strumenti da ufficio presenti in Microsoft Office, tra cui .
Gli attacchi omografici riportano in auge storici problemi le cui radici risalgono alle origini del progetto Internet. Nonostante la loro storicità, sembrano ancora attuali, sebbene non sfruttati su larga scala, e attualizzati a tecniche come il phishing nelle campagne malevole.
Indice degli argomenti
Cos’è e come funziona l’attacco omografico
Gli attacchi di phishing omografici comprendono quel genere di attività malevola secondo la quale gli attaccanti sfruttano le somiglianze dei caratteri dell’alfabeto (o degli alfabeti quando si parla di attacchi su domini internazionali) nei nomi di dominio. Per far capire istantaneamente di cosa si sta parlando, la ricerca stessa di Bitdefender porta ad esempio il caso di “google.com” visivamente sostituito con “g00gle.com”.
Le cose, però, si complicano se nell’attacco si sfrutta il
Se a uno sguardo attento distinguiamo facilmente uno “0” (zero) da una “o”, all’occhio umano risulta nettamente più complicato distinguere per esempio la lettera “a” latina da quella dell’alfabeto cirillico. Come mostrato dalla figura sottostante, le differenze sono date dal tratto rosso in un caso oppure blu, nell’altro. Potremo dire impercettibili.
Queste differenze, minime per un occhio umano, producono però effettivamente due caratteri distinti per un computer. Sfruttare questo concetto significa avere tra le mani, soprattutto alla luce delle possibilità offerte dall’introduzione di IDN, un set di strumenti effettivamente ampio, con il quale registrare nuovi nomi di dominio che abbiano dietro operatori criminali.
La conduzione di una campagna di phishing di questo genere presuppone, appunto, l’ottenimento del nome di dominio che emulerà il brand che si vuole sfruttare con la vittima, oltre al contenuto del sito rispetto all’originale, in modo da poter carpire dati personali, qualora la frode sia abbastanza convincente agli occhi della vittima.
Come si integra l’attacco con la suite Microsoft
La ricerca Bitdefender è stata segnalata a Microsoft nell’ottobre 2021 e la società stessa ne ha confermato i risultati. La vulnerabilità a questa tipologia di attacchi, nella suite Office 365, è amplificata dal metodo di interpretazione dei link contenti appunto caratteri internazionali o UNICODE. Questi ultimi non verranno visualizzati e verrà dato peso unicamente al link che eventualmente verrà incollato come testo alternativo.
Nell’immagine sottostante viene riportato il caso di Outlook 365, alle prese con un messaggio contenente proprio questo link.
Oppure dagli editor di testo quali Word, Excel e PowerPoint.
Effettivamente, viene mostrato il link “oops.com” mentre invece l’effettivo dominio collegato in questo documento è “xn--n1aag8f.com”. Che corrisponde proprio alla registrazione di un dominio internazionale, come il suffisso “xn--” suggerisce. Nella visualizzazione Microsoft la differenza tra i due Unicode è invisibile. Questo fa scattare la vulnerabilità.
Come si affronta una tale vulnerabilità
Il problema è noto a Microsoft, appunto, grazie a questa ricerca. Non è stato ancora risolto perché non si è al momento trovata una soluzione univoca e applicabile a tale risoluzione. Nonostante tutto, va detto che attacchi di questo tipo non sono facili da condurre.
Tra le difficoltà che gli attaccanti incontreranno, ci sono sicuramente i limiti già oggettivi degli standard in uso. Ad esempio i nomi di dominio (seppur internazionalizzabili) non possono mischiare differenti set di caratteri all’interno dello stesso nome. Quindi non possiamo registrare “amazoń.com”, semplicemente prendendo la lettera “n” dall’alfabeto polacco e tutte le altre dal latino (che inoltre verrebbe tradotto come segue: “www.xn--amazo-07a.com”).
Allo stato attuale, soprattutto per brand di certe dimensioni, è pratica diffusa registrare tutte le possibilità di nomi di dominio con caratteri simili all’interno del proprio set di caratteri di appartenenza che, essendo l’unico dal quale si può attingere, non risulta mai un numero di possibilità eccessivamente elevato.
Tra le misure di mitigazione suggerite, c’è anche quella di sospettare davanti a casi di domini che iniziano per “xn--“, in linea generale, sempre. Spesso applicando anche regole specifiche nei firewall di rete.
Inoltre la formazione del proprio personale dipendente su questa tipologia di attacco rimane fondamentale. Gli operatori che hanno a che fare con desk e strumenti informatici, a contatto con l’esterno dell’organizzazione, dovrebbero conoscere la tecnica almeno per poter generare il sospetto, davanti a certi casi poco limpidi.
Il tutto sicuramente almeno finché non verrà trovata una soluzione definitiva lato client, sia per programmi d’ufficio che per browser di navigazione, atta a prevenire gli attacchi omografici che ancora, seppur lenti, possono correre quasi indisturbati.
