Az URL-hamisítás rejtett veszélye
Az utóbbi időben újra előtérbe került egy több mint tíz éve ismert sérülékenység, amely lehetővé teszi, hogy hamis webcímek valódinak tűnjenek. Ez a sebezhetőség az úgynevezett BiDi Swap módszeren alapul. Különösen jelentős, hogy a BiDi Swap a phishingtámadások kedvelt eszköze: a támadók olyan webcímeket hoznak létre, amelyek megtévesztik az óvatlan internetezőket, és könnyedén hozzáférnek érzékeny adataikhoz.
Veszélyes Unicode-trükkök és előzmények
Már a BiDi Swap előtt is használtak Unicode-alapú trükköket arra, hogy félrevezessék a böngészőket és a felhasználókat. Ezek között kiemelkedik a homográftámadás, ahol az internetes címeknél (például az internationalizált domainneveknél) nem latin betűket alkalmaznak. Így jöhetnek létre csaló domainek, mint például a pple.com vagy az ayal.com, ahol egyetlen karakter eltérése is megváltoztatja a címet, miközben szinte észrevétlen marad. Egy másik tipikus megoldás a Unicode irányváltó karakterek (például U+202E) használata: ezekkel a támadók képesek a szöveg irányát megfordítani, így a veszélyes fájlkiterjesztések is ártalmatlannak tűnhetnek, például egy blafdp.exe állományt blaexe.pdf-nek lehet álcázni.
Fontos, hogy ezek az apró karakterek bár szükségesek a jobbról balra írt nyelvekhez, leplezhetik a támadó szándékát, és első ránézésre ártalmatlannak tüntetik fel a webcímeket vagy fájlokat.
A BiDi Swap működése
Az internetes szövegeknél az angolhoz vagy a spanyolhoz hasonlóan sok nyelv balról jobbra (LTR) íródik, míg például az arab vagy a héber jobbról balra (RTL). A különböző irányultságú karakterek kezelése számítógépen bonyolult lehet: a Unicode-szabvány BiDi algoritmusa abban segít, hogy a vegyes irányú szövegek helyes sorrendben jelenjenek meg.
Mindezek ellenére, bár az algoritmus a fődomaineket viszonylag jól kezeli, az aldomainekkel és az URL-paraméterekkel gyakran problémákba ütközik. Ez a kihagyott biztonsági rés lehetőséget ad a támadóknak arra, hogy kevert irányú címeket állítsanak össze, amelyek megtévesztőek lehetnek.
Biztonsági szakemberek vizsgálata szerint nincs olyan szervezet, amely teljesen védett lenne az ilyen trükkök ellen. Ennek alapján megállapítható, hogy a szervezetek 99 százalékában találhatók olyan érzékeny adatok, amelyeket az MI pillanatok alatt felszínre hozhat.
A tipikus webcímek felépítése és a támadási gyakorlat
Nézzük röviden, miből áll egy webcím: a protokoll (pl. https://), az opcionális aldomain (pl. www.), a fődomain (például varonis), a végződés (TLD, például .com), valamint az útvonal és a paraméterek. Az igazi trükk ott kezdődik, amikor a támadók különböző irányú írásrendszereket használnak ezekben az elemekben.
Egy kevert, jobbról balra irányuló domain látszólag pontos webcímet ad; ha viszont angolból és más nyelvekből álló paramétereket és aldomaineket szúrnak be, a böngésző nehezen birkózik meg a pontos megjelenítéssel. Így születnek azok a címek, amelyek első látásra megbízhatónak tűnnek, de egészen más oldalra vezetnek.
Bár több böngésző kínál némi védelmet, ezek jellemzően csak a legnagyobb oldalaknál működnek hibátlanul, és rengeteg káros tartalom így is átslisszan a szűrőkön.
Böngészők és védekezés
Az elmúlt évtizedben több nagy böngésző is elismerte a BiDi Swap problémáját. A Chrome-ban például létezik egy, a névrokon URL-eket felismerő megoldás, de tapasztalatok szerint csak néhány ismert domain esetén jelez, a többinél nem. A Firefox más utat választott: a címsorban kiemeli a domain lényeges elemeit, így könnyebb kiszúrni a csalást. Az Edge fejlesztői az ügyet lezártnak tekintik, de a böngésző viselkedése valójában nem változott. Az Arc böngészőt már nem fejlesztik, de ez a ritka példák egyike volt, amely helyesen kezelte az ilyen trükkös webcímeket.
Gyakorlati tanácsok és a Varonis Interceptor
A BiDi Swap elleni védekezés első számú eszköze a tudatosság: mindig nézz rá a gyanúsnak tűnő webcímekre, és figyeld a szokatlan karaktereket vagy irányokat. Lényeges, hogy a böngészőfejlesztők tovább erősítsék a domainek kiemelését és a hasonló címek detektálását, hogy ne maradjanak kiskapuk. Ne bízd magad pusztán a szoftverre – tanuld meg az SSL-tanúsítványok ellenőrzését, és mindig győződj meg a domain egyezőségéről, hiszen néhány másodpercnyi odafigyelés nagyobb biztonságot adhat.
A Varonis Interceptor új szintre emeli a levelezés és a böngészés védelmét: az MI-alapú fenyegetésészleléssel hatékonyabban azonosítja és hárítja el a phishingtámadásokat, mint a hagyományos megoldások. Az Exchange Online-integráció révén képes osztályozni és figyelni az érzékeny adatforgalmat, így a cégek magabiztosan védhetik digitális vagyonukat.
