Protokół HTTPS jest podstawą nowoczesnej komunikacji internetowej. Oferuje wysoki poziom bezpieczeństwa, który jest wystarczający w większości przypadków wykorzystujących silną kryptografię TLS. Ale to nie znaczy, że hakerzy zrezygnowali z domen HTTPS.
Jedną z powszechnych metod ataku jest HTTP Spoofing czyli podszywanie się pod HTTPS. W tej metodzie atakujący używa domeny, która wygląda bardzo podobnie do domeny docelowej. Dzięki tej taktyce, znanej również jako „atak homograficzny”, znaki w domenie docelowej są zastępowane innymi znakami spoza zestawu ASCII, które mają bardzo podobny wygląd. Jest bardzo mało prawdopodobne, że niczego niepodejrzewający użytkownik zauważy różnicę i jest pewny, że przeglądarka wskazuje bezpieczne połączenie.
W celu przeprowadzenia ataków homograficznych hakerzy rejestrują nazwę domeny podobną do docelowej witryny internetowej. Rejestrują także swój certyfikat SSL, aby wyglądała na legalną i bezpieczną. Następnie wysyłają link do zamierzonej ofiary. Ponieważ większość przeglądarek obsługuje wyświetlanie nazw hostów w kodzie punycode na pasku adresu, gdy użytkownik przegląda adres, nie zauważy, że jest to fałszywa wersja witryny, którą spodziewa się odwiedzić. Ich przeglądarka pokazuje nawet, że certyfikat witryny jest legalny i bezpieczny, co dodatkowo utrudnia wykrycie ataku.
Z tego miejsca, podczas gdy użytkownik myśli, że wchodzi w interakcję z legalną zaszyfrowaną witryną, w rzeczywistości padł ofiarą ataku typu man-in-the-middle i udostępnia swoje informacje złośliwemu podmiotowi. Badacz bezpieczeństwa Xudong Zheng przedstawił dowód koncepcji tego ataku, w którym sfałszował witrynę HTTPS należącą do Apple .
Zapobieganie HTTP Spoofing
Jednym ze sposobów zapobiegania HTTP Spoofing czyli podszywaniu się pod HTTPS jest wyłączenie obsługi wyświetlania kodu puny w przeglądarce. Zapewni to, że prawdziwa, zakodowana nazwa domeny w pasku adresu i ostrzeże Cię, jeśli odwiedzasz nieautentyczną witrynę. Na przykład, gdy odwiedzisz adres w PoC, o którym mowa powyżej, zobaczysz „https://www.xn--80ak6aa92e.xn--com-9o0a na pasku adresu zamiast nazwy witryny Apple.
Innym zabezpieczeniem przed atakami homograficznymi jest użycie menedżera haseł. Menedżery haseł automatycznie wypełnią pola nazwy użytkownika i adresu witryn internetowych, gdy odwiedzasz legalną domenę. Nie dają się zwieść wyglądowi reprezentacji w kodzie punycode.