image

Criminelen gebruiken punycode-domein om Brave.com te imiteren

maandag 2 augustus 2021, 14:52 door Redactie, 15 reacties

Criminelen hebben vorige week een punycode-domein gebruikt om de domeinnaam van de Brave-browser te imiteren en zo malware te verspreiden. Om verkeer naar de malafide website te genereren werd er gebruikgemaakt van advertenties binnen de Google-zoekmachine, zo liet Brave-ontwikkelaar Jonathan Sampson via Twitter weten.

Punycode is een manier om met een beperkte karakterset internationale domeinnamen weer te geven. Zo wordt "münich" weergegeven als "mnich-kva". Een internationale domeinnaam gebruikt de punycode-encoding en voegt er "xn--" voor. Zo wordt "münich.com" weergegeven als "xn--mnich-kva.com". Onlangs registreerden criminelen de domeinnaam "xn--brav-yva.com", die door browsers als brave.com wordt weergegeven, maar dan met een accent boven de e.

Vervolgens werd er een kopie van de echte Brave-website aan deze domeinnaam gekoppeld. In plaats van een browser leidde de downloadknop echter naar malware. Het ip-adres achter de website bleek voor meer malafide punycode-domeinen te worden gebruikt die zich voordeden als de websites van Ledger.com, Signal.com en Telegram.com, meldt onderzoeker Martijn Grooten van securitybedrijf SilentPush. Na te zijn ingelicht haalde registrar NameCheap de domeinen offline en verwijderde Google de malafide advertentie.

Image

Reacties (15)
02-08-2021, 15:24 door Anoniem
ik dacht dat google zelf zo bij de hand was met hun Tech?????????? monitoren?
02-08-2021, 15:34 door Anoniem
In Firefox:
1. Open about:config
2. Zet de waarde "network.IDN_show_punycode" op "true"
3. Test de instelling met de website https://www.xn--80ak6aa92e.com/. Deze heeft als domein www.apple.com als punycode weergeven uitgeschakeld is.
02-08-2021, 15:43 door Anoniem
Gelukkig kan Google snel de daders oppakken, omdat die deze advertentie moeten betalen. Toch?

Als dat niet zo is wordt het hoog tijd dat google ene betere ' ken je klant ' beleid gaat voeren. Met grote regelmaat kom je via hun advertenties uit bij phishing sites, malware, etc.etc.
02-08-2021, 15:47 door Erik van Straten
Punycode is niet echt het probleem. Punycode is de "truc achter de schermen" om toch een ASCII domeinnaam te kunnen gebruiken (zowel in DNS als in het https servercertificaat) voor een Unicode domeinnaam.

Het probleem is dat veel webbrowsers, in links en de URL-balk, i.p.v. een punycode, een IDN tonen (International Domain Name), waarmee gebruikers op het verkeerde been kunnen worden gezet.

Het is m.i. schandalig dat je voor duidelijk misleidende domeinnamen zowel een DNS- registratie kunt kopen als er een https servercertificaat voor kunt verkrijgen (no thanks to Let's Encrypt die dit niet hun probleem vindt).
02-08-2021, 16:43 door Briolet
Het hele technische verhaal leidt hier af van wat er aan de hand is. Er worden hier karakters in de domeinnaam gebruikt die lijken op die in de bestaande domeinnaam. In dit geval een é i.p.v. een e.

Hoe dit technisch in elkaar steekt maakt voor de gebruiker niets uit. Chinese websites of andere websites die unicode karakters willen gebruiken die niet in de klassieke ascii set zitten, doen niet anders dan het gebruiken van puny-code. Allemaal nodig omdat je geen unicode in een domeinnaam kunt gebruiken (Wel in de rest van het pad)

https://www.punycoder.com

Wat dat betreft is het vreemd dat een firma als Univé de domeinnaam "univé.nl" niet geregistreerd heeft maar wel de iets fout gespelde naam "unive.nl".
02-08-2021, 16:57 door Spiff has left the building
Door Erik van Straten, 15:47 uur:
Het probleem is dat veel webbrowsers, in links en de URL-balk, i.p.v. een punycode, een IDN tonen (International Domain Name), waarmee gebruikers op het verkeerde been kunnen worden gezet.
Dat geldt ook voor Firefox, maar daarin is door middel van de instelling die Anoniem om 15:34 uur aangaf wel "show punycode" in te stellen.
Weet je, of iemand anders, of een dergelijke "show punycode" instelling ook in andere browsers in te stellen is? Ik ben zelf niet thuis in andere browsers dan Firefox.
02-08-2021, 17:46 door Anoniem
In Chrome wordt je er netjes voor gewaarschuwd:
Safety Warning bij testen op https://www.xn--80ak6aa92e.com/
The site you just tried to visit looks fake.
Attackers sometimes mimic sites by making small, hard-to-see changes to the URL.

Dan kun je dat serieus nemen of ignoreren.

luntrus
02-08-2021, 19:27 door Erik van Straten
Door Spiff: Dat geldt ook voor Firefox, maar daarin is door middel van de instelling die Anoniem om 15:34 uur aangaf wel "show punycode" in te stellen.
Helaas heb je in Firefox voor Android geen toegang tot about:config (wel in Firefox Nightly voor Android, die ik ook gebruik, en daarin zie ik dus punycode).

Door Spiff: Weet je, of iemand anders, of een dergelijke "show punycode" instelling ook in andere browsers in te stellen is?
Nee, dat weet ik niet. Wel lijken verschillende browsers lijsten van "foute" domeinnamen aan boord te hebben (en/of een detectiealgoritme), waardoor het onvoorspelbaar kan zijn of je de IDN of de punycode domeinnaam te zien krijgt. Helaas betekent dit ook dat cybercriminelen kunnen zoeken naar IDN's die toch door browsers van de doelgroep worden getoond.

Persoonlijk heb ik liever een alles-of-niets "disable IDN's" instelling, temeer daar de meeste Nederlandertaligen zelden of nooit met websites met IDN's te maken krijgen. Beter, als de default in Nederland "disable/do not show IDN's" zou zijn, en het relatief kleine aantal taalgenoten dat wel IDN's wil zien, dat op "enable" zet, zouden niet-doelgerichte IDN-aanvallen op Nederlandstalige surfers waarschijnlijk nauwelijks lucratief zijn.
02-08-2021, 19:53 door Spiff has left the building
Door Erik van Straten, 19:27 uur:
Helaas heb je in Firefox voor Android geen toegang tot about:config (wel in Firefox Nightly voor Android, die ik ook gebruik, en daarin zie ik dus punycode).
O, dank je, Erik, daar had ik niet aan gedacht. Ik had eigenlijk moeten schrijven: Ik ben niet thuis in andere browsers dan Firefox op desktop, ik ben niet thuis in Android, iOS, of andere mobile.

Door Erik van Straten, 19:27 uur:
[...] Wel lijken verschillende browsers lijsten van "foute" domeinnamen aan boord te hebben (en/of een detectiealgoritme), waardoor het onvoorspelbaar kan zijn of je de IDN of de punycode domeinnaam te zien krijgt.
Dank je, dat had ik inmiddels ook ontdekt, in deze documentatie:
https://chromium.googlesource.com/chromium/src/+/main/docs/idn.md

Door Erik van Straten, 19:27 uur:
Helaas betekent dit ook dat cybercriminelen kunnen zoeken naar IDN's die toch door browsers van de doelgroep worden getoond.

Persoonlijk heb ik liever een alles-of-niets "disable IDN's" instelling, temeer daar de meeste Nederlandertaligen zelden of nooit met websites met IDN's te maken krijgen. Beter, als de default in Nederland "disable/do not show IDN's" zou zijn, en het relatief kleine aantal taalgenoten dat wel IDN's wil zien, dat op "enable" zet, zouden niet-doelgerichte IDN-aanvallen op Nederlandstalige surfers waarschijnlijk nauwelijks lucratief zijn.
De optie die Firefox biedt, vind ik beslist prettiger dan wat Google Chrome biedt (en misschien andere Chromium-based browsers?).
Jammer genoeg hebben Firefox gebruikers die niet op de hoogte zijn van de "show punycode" optie daar niks aan, gezien het feit dat die optie ingeschakeld moet worden door de gebruiker.
02-08-2021, 20:32 door Anoniem
Hopelijk zijn ze bij Brave nu zo slim om hun adresbalk aan te passen als er IDN gebruikt wordt, zodat andere phishing ook eens gaat opvallen.

(En blijft SIDN voor .nl IDN niet ondersteunen... fingers crossed, scheelt hoop ellende).
02-08-2021, 20:39 door Anoniem
De show punycode staat al echt maanden aan in de nieuwste Firefox/Waterfox. Je hoeft dus niets meer in te stellen. Vroeger was dit inderdaad anders en moest je naar about:config.
03-08-2021, 08:20 door Spiff has left the building
Door Anoniem, ma.02-08, 20:39 uur:
De show punycode staat al echt maanden aan in de nieuwste Firefox/Waterfox. Je hoeft dus niets meer in te stellen. Vroeger was dit inderdaad anders en moest je naar about:config.
O, dergelijk nieuws zou ik dan helemaal gemist hebben.
Kun je ook een bron aangeven die vermeldt dat 'show punycode' al maanden standaard ingeschakeld is in Firefox?
Dankjewel alvast.
03-08-2021, 09:30 door Anoniem
https://wiki.mozilla.org/IDN_Display_Algorithm:
it is up to registries to make sure that their customers cannot rip each other off.
M.a.w.: een dergelijk punycode probleem is geen browser verantwoordelijkheid,
ook al helpen ze voor zover ze redelijkerwijs kunnen mee om het zo goed mogelijk in goede banen te leiden.
03-08-2021, 09:46 door Anoniem
Voorbeeld hoe je zulke aanvallen voor een domein kan vinden, als je Python 3 geïnstalleerd hebt staan:

pip3 install dnstwist
~/.local/bin/dnstwist --registered brave.com
03-08-2021, 09:51 door Anoniem
Door Anoniem: De show punycode staat al echt maanden aan in de nieuwste Firefox/Waterfox. Je hoeft dus niets meer in te stellen. Vroeger was dit inderdaad anders en moest je naar about:config.
Ik zit altijd op de laatste release, maar het stond bij mij toch echt uit (Firefox 90.0.2 64-bit). In Edge stond het trouwens wel default aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.