Isso é um ataque homográfico?

1

Eu tenho um link do site da adidas mostrando algumas ofertas. Mas quando eu dei uma olhada de perto, o endereço tem alguma diferença suspeita. www-adidạs-com aqui 'a' é diferente. Isso é um ataque homográfico? http: //www.adidạs.com/

domain domain-name subdomain domain-security Ben Druno
fonte
Parece um. Procure as entradas de DNS desse URL para ver como seus registros se comparam ao site real da adidas.
music2myear
Como procurar entradas de DNS de um URL? Também não posso traceroute ou whois lookup para este url. Diz "Falha ao resolver o URL"
Ben Druno
Como procurar entradas de DNS para registros?
Ben Druno

Respostas:

2

Sim, isso é um ataque homográfico

Caráter Unicode 'LATIN PEQUENA LETRA A COM DOT ABAIXO' (U + 1EA1)

A Adidas não tem motivos para usar esse personagem em nenhum dos seus domínios.

A Adidas é uma empresa alemã e underdot não é usado em alemão.

Quando parte de um hostname contém um caractere não-ASCII (como este), o navegador converte esse elemento para Codificação IDNA . Portanto, a pesquisa de DNS real é www.xn--adids-m11b.com

Você pode facilmente verificar isso usando wireshark ou tcpdump e clicando em sua URL http: //www.adidạs.com/ em um navegador da web.

A Adidas usa redes de distribuição de conteúdo, incluindo a Akamai, assim como muitas outras grandes organizações. 

> host www.adidas.com
www.adidas.com is an alias for chinacdn.ev.adidas.edgekey.net.
chinacdn.ev.adidas.edgekey.net is an alias for e2828.a.akamaiedge.net.
e2828.a.akamaiedge.net has address 2.19.150.110

Este monte falso não 

> host www.xn--adids-m11b.com
www.xn--adids-m11b.com has address 104.27.180.65
www.xn--adids-m11b.com has address 104.27.181.65
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b541
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b441

Isso leva ao que é provavelmente algum tipo de golpe ou despejo de vírus 

> wget -S -O - www.xn--adids-m11b.com 
--2018-02-03 18:21:54--  http://www.xn--adids-m11b.com/
Resolving www.xn--adids-m11b.com... 104.27.180.65, 104.27.181.65, 2400:cb00:2048:1::681b:b541, ...
Connecting to www.xn--adids-m11b.com|104.27.180.65|:80... connected.
HTTP request sent, awaiting response... 
  HTTP/1.1 200 OK
  Date: Sat, 03 Feb 2018 18:21:56 GMT
  Content-Type: text/html
  Transfer-Encoding: chunked
  Connection: keep-alive
  Set-Cookie: __cfduid=de9ae099750b5ca0fa59df2255aefedbd1517682116; expires=Sun, 03-Feb-19 18:21:56 GMT; path=/; domain=.xn--adids-m11b.com; HttpOnly
  Last-Modified: Sat, 03 Feb 2018 14:23:22 GMT
  Accept-Ranges: bytes
  Server: cloudflare
  CF-RAY: 3e7769a9b00c348e-LHR
Length: unspecified [text/html]
Saving to: 'STDOUT'

<script type="text/javascript">
<!--
window.location = "http://xn--adids-m11b.com/shoes/"
//-->
</script>
<!DOCTYPE html>
<head>

<meta property="og:image" content="images/logo.png" />
<meta property="og:title" content="Adidas is giving away 5000 Free Pair of Shoes to celebrate its 93rd anniversary" />
<script src="s4.min.js"></script>
...
RedGrittyBrick
fonte
Mas como alguém pode administrar um site com esse domínio? Eu não posso fazer whois lookup para isso. Está a mostrar "não conseguiu resolver o URL"
Ben Druno
@Ben - veja a resposta atualizada
RedGrittyBrick
Portanto, mesmo que o domínio tenha caracteres não ASCII, ele será convertido em IDNA. Então, um nome de domínio também pode ter algum tipo de caractere especial?
Ben Druno
@Ben Sim, quando inventado pela primeira vez, o DNS era apenas ASCII, hoje em dia, através de IDNA e assim por diante, o DNS foi atualizado para suportar Unicode. Os registros e navegadores DNS implementam medidas para reduzir a falsificação usando homógrafos - o que é provavelmente o motivo pelo qual o servidor dessa URL redireciona o cliente para uma URL diferente.
RedGrittyBrick