Na sociálních sítích se šíří varování před nebezpečným trikem, pomocí kterého mohou podvodníci údajně vytvořit internetovou adresu vypadající naprosto stejně jako Apple.com. Uživatel zkontroluje adresní řádek, nic podezřelého nevidí a bez obav zadá své přihlašovací údaje. Ty však místo Applu odešle přímo útočníkům. Takzvané homografické útoky skutečně existují a nejde o žádný internetový výmysl. Virální příspěvky ale často zapomínají na jednu důležitou skutečnost – registrátoři domén i moderní internetové prohlížeče proti podobným útokům už řadu let aktivně bojují.
Celý trik je založený na tom, že některá písmena z různých abeced vypadají na první pohled prakticky stejně. Typickým příkladem je latinka a cyrilice. Zatímco člověk může vidět dvě naprosto totožná písmena, počítač je považuje za dva odlišné znaky. Podvodník by tak teoreticky mohl vytvořit doménu připomínající Apple.com, ve které by některé znaky nahradil jejich vizuálně podobnými alternativami. Uživatel by při rychlé kontrole adresního řádku nemusel vůbec poznat, že se nenachází na skutečných stránkách Applu.
Internetové adresy mohou obsahovat znaky z různých abeced
Za celým problémem stojí takzvané Internationalized Domain Names, tedy mezinárodní doménová jména. Internet původně pracoval především se základními znaky latinky, postupem času ale vznikla potřeba umožnit používání domén také lidem z dalších částí světa. Internetové adresy proto mohou obsahovat například znaky používané v cyrilici, čínštině, arabštině a dalších jazycích.
Aby dokázal systém DNS s těmito adresami pracovat, používá se technologie označovaná jako Punycode. Doména obsahující speciální znaky je převedena do technického formátu, který často začíná znaky xn--. Prohlížeč následně může uživateli zobrazit její běžnou a lépe čitelnou podobu. Právě zde však vzniká prostor pro zneužití, protože některé znaky mohou vypadat téměř stejně jako běžná písmena latinky.
Není pravda, že si dnes může kdokoliv vytvořit falešné Apple.com
Virální příspěvky na sociálních sítích ovšem celou situaci značně zjednodušují. Vytvářejí dojem, že stačí přijít k libovolnému registrátorovi, nahradit jedno písmeno v adrese Apple.com znakem z cyrilice a okamžitě získáte perfektní nástroj pro krádeže hesel. Tak jednoduché to ale dnes není.
Registry a registrátoři domén používají pravidla, která mají podobným útokům zabránit. Omezují například nebezpečné kombinování znaků pocházejících z různých písem. Nelze tedy automaticky předpokládat, že jakoukoliv kombinaci latinky a cyrilice bude možné bez problémů zaregistrovat. Právě na tuto skutečnost upozorňují také lidé v komentářích pod virálním příspěvkem a v tomto případě mají pravdu.
Zobrazit příspěvek na Instagramu
Další ochrannou vrstvu představují samotné internetové prohlížeče. Safari, Chrome, Firefox a další moderní prohlížeče používají mechanismy, které mají podezřelé domény odhalovat. Pokud prohlížeč vyhodnotí adresu jako potenciálně nebezpečnou nebo matoucí, může ji místo důvěryhodně vypadajícího názvu zobrazit přímo ve formátu Punycode. Uživatel pak v adresním řádku neuvidí například dokonale vypadající Apple.com, ale výrazně podezřelejší kombinaci znaků začínající xn--.
Proč tedy podobné útoky stále existují?
Ochrana registrátorů ani internetových prohlížečů však neznamená, že problém s falešnými doménami úplně zmizel. Podvodníci neustále hledají nové způsoby, jak uživatele zmást. Nemusí přitom nutně vytvořit dokonale identickou kopii internetové adresy. Často stačí doména, která skutečnou adresu pouze připomíná.
Útočníci například zamění dvě písmena, jedno z nich vynechají, přidají pomlčku nebo vytvoří delší adresu obsahující název známé společnosti. Při rychlém pohledu, zejména na malém displeji telefonu, může taková doména působit dostatečně důvěryhodně. Tento způsob útoku je známý jako typosquatting a dodnes patří mezi běžné techniky používané při phishingových kampaních.
Samotná falešná internetová adresa je navíc pouze začátkem celého útoku. Podvodníci následně vytvoří kopii skutečného webu Applu, Googlu, Microsoftu, banky nebo jiné známé služby. Zkopírovat logo, barvy, tlačítka a přihlašovací formulář dnes není příliš složité. Pokud se k tomu přidá důvěryhodně vypadající doména a zpráva tvrdící, že uživateli bude například zablokován účet, může být výsledný podvod velmi přesvědčivý.
Virální příspěvek tedy nelže, ale realitu výrazně zjednodušuje
Samotná myšlenka příspěvku šířícího se po sociálních sítích je založena na skutečném bezpečnostním problému. Homografické útoky existují a zneužívání podobně vypadajících znaků představuje reálné riziko. Není však pravda, že by dnes mohl kdokoliv bez problémů vytvořit vizuálně identickou kopii adresy Apple.com, obejít všechny ochrany registrátorů a následně ji nechat zobrazit v každém moderním prohlížeči jako skutečný web Applu.
Realita je podstatně složitější. Registrátoři omezují používání nebezpečných kombinací znaků a prohlížeče mají vlastní bezpečnostní mechanismy. Přesto stále existují způsoby, jak vytvořit doménu, která může při rychlém pohledu uživatele zmást. Zejména pokud se k ní dostane prostřednictvím odkazu v podvodném e-mailu, SMS zprávě nebo příspěvku na sociálních sítích.
Jak se před falešnými internetovými adresami chránit
Samotná kontrola adresního řádku je stále důležitá, neměla by však být jedinou ochranou. Velmi účinným pomocníkem je správce hesel. Ten totiž nerozhoduje podle toho, jak internetová adresa vypadá lidskému oku, ale kontroluje skutečnou doménu. Pokud máte heslo uložené pro skutečný web Applu a navštívíte jeho falešnou kopii, správce hesel by vám na ní neměl automaticky nabídnout uložené přihlašovací údaje.
Důležité je také používat dvoufázové ověření a být opatrný u odkazů přicházejících prostřednictvím e-mailů nebo zpráv. Pokud vám například přijde informace o zablokovaném Apple účtu, problému s platbou nebo nutnosti okamžitě změnit heslo, je bezpečnější neklikat na přiložený odkaz a stránku služby otevřít ručně.
Virální varování tedy není úplným výmyslem, ale prezentuje skutečný bezpečnostní problém mnohem jednodušeji a dramatičtěji, než jak funguje v současnosti. Homografické útoky existují, registrátoři a moderní prohlížeče proti jejich nejjednodušším variantám ale používají ochranné mechanismy. Největším rizikem tak nadále zůstávají především nepozorní uživatelé, falešné přihlašovací stránky a stále propracovanější phishingové kampaně.