¿Es este un ataque homógrafo?

tag-icon tag-icon domain domain-name subdomain domain-security
¿Es este un ataque homógrafo?

Recibí un enlace del sitio web de Addidas que muestra algunas ofertas. Pero cuando miré de cerca, la dirección tenía alguna diferencia sospechosa. www-adidạs-com aquí 'a' es diferente. ¿Es este un ataque homógrafo? http://www.adidạs.com/

Respuesta1

Sí, eso es un ataque homógrafo.

Carácter Unicode 'LETRA A MINÚSCULA LATINA CON PUNTO ABAJO' (U+1EA1)

Adidas no tiene ningún motivo para utilizar ese carácter en ninguno de sus dominios.

Adidas es una empresa alemana y lapunto bajono se utiliza en alemán.

Cuando parte de un nombre de host contiene un carácter que no es ASCII (como este), el navegador convierte ese elemento aCodificación IDNA. Entonces la búsqueda de DNS real es www.xn--adids-m11b.com

Puede verificar esto fácilmente usando Wireshark o tcpdump y luego haciendo clic en su URLhttp://www.adidạs.com/en un navegador web.

La verdadera Adidas utiliza redes de distribución de contenido, incluida Akamai, al igual que muchas otras grandes organizaciones.

> host www.adidas.com
www.adidas.com is an alias for chinacdn.ev.adidas.edgekey.net.
chinacdn.ev.adidas.edgekey.net is an alias for e2828.a.akamaiedge.net.
e2828.a.akamaiedge.net has address 2.19.150.110

Este grupo falso no

> host www.xn--adids-m11b.com
www.xn--adids-m11b.com has address 104.27.180.65
www.xn--adids-m11b.com has address 104.27.181.65
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b541
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b441

Esto conduce a lo que probablemente sea algún tipo de estafa o volcado de virus.

> wget -S -O - www.xn--adids-m11b.com 
--2018-02-03 18:21:54--  http://www.xn--adids-m11b.com/
Resolving www.xn--adids-m11b.com... 104.27.180.65, 104.27.181.65, 2400:cb00:2048:1::681b:b541, ...
Connecting to www.xn--adids-m11b.com|104.27.180.65|:80... connected.
HTTP request sent, awaiting response... 
  HTTP/1.1 200 OK
  Date: Sat, 03 Feb 2018 18:21:56 GMT
  Content-Type: text/html
  Transfer-Encoding: chunked
  Connection: keep-alive
  Set-Cookie: __cfduid=de9ae099750b5ca0fa59df2255aefedbd1517682116; expires=Sun, 03-Feb-19 18:21:56 GMT; path=/; domain=.xn--adids-m11b.com; HttpOnly
  Last-Modified: Sat, 03 Feb 2018 14:23:22 GMT
  Accept-Ranges: bytes
  Server: cloudflare
  CF-RAY: 3e7769a9b00c348e-LHR
Length: unspecified [text/html]
Saving to: 'STDOUT'

<script type="text/javascript">
<!--
window.location = "http://xn--adids-m11b.com/shoes/"
//-->
</script>
<!DOCTYPE html>
<head>

<meta property="og:image" content="images/logo.png" />
<meta property="og:title" content="Adidas is giving away 5000 Free Pair of Shoes to celebrate its 93rd anniversary" />
<script src="s4.min.js"></script>
...

información relacionada