Inleiding
Dit document beschrijft het gebruik van homografische tekens in geavanceerde phishing-aanvallen en hoe u hier rekening mee moet houden bij het gebruik van bericht- en inhoudsfilters op de Cisco Email Security Applicatie (ESA).
Homoglyph geavanceerde phishing aanvallen
In geavanceerde phishing aanvallen vandaag, kunnen phishing e-mails homogyph tekens bevatten. Een homoglyph is een tekstteken met vormen die bijna identiek zijn aan of lijken op elkaar. Er kunnen URL's worden ingesloten in phising e-mails die niet worden geblokkeerd door bericht- of inhoudsfilters die zijn geconfigureerd op de ESA.
Een voorbeeldscenario kan als volgt zijn: Klant wil een e-mail blokkeren die had bevat de URL van www.pɑypal.com. Hiervoor wordt een inkomende contentfilter geschreven dat op zoek gaat naar de URL met www.paypal.com. De actie van dit inhoudfilter zou worden geconfigureerd om te laten vallen en te informeren.
De klant heeft een voorbeeld ontvangen van een e-mail met: www.pɑypal.com
Content filter zoals geconfigureerd bevat: www.paypal.com
Als u de eigenlijke URL via DNS bekijkt, zult u merken dat ze anders oplossen:
$ dig www.pɑypal.com
; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A
;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400
;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com
; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8
;; QUESTION SECTION:
;www.paypal.com. IN A
;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128
;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.
;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73
;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470
De eerste URL gebruikt een homoglyph van de letter "a" van het unicode formaat.
Als je goed kijkt, kun je zien dat de eerste "a" in PayPal eigenlijk anders is dan de tweede "a".
Let op bij het werken met bericht- en inhoudsfilters om URL's te blokkeren. De ESA kunnen het verschil niet zien tussen homografen en standaard alfabet tekens. Een manier om het gebruik van homoglyfische phishing-aanvallen goed te detecteren en te voorkomen is het configureren en inschakelen van OFF en URL-filtering.
Irongeek biedt een methode voor het testen van homoglyfen en het maken van test kwaadaardige URL's: Homoglyph Attack Generator
Gedetailleerde introductie in homoglyph phishing-aanvallen, ook van Irongeek: Out of Character: Use of Punycode and Homoglyph Attacks to Obfuscate URLs for Phishing
Feedback