UCAPI – Confusable détection cordes API bêta

Original: http://www.casaba.com/products/UCAPI/

Ce qui est dans un nom? Tout. Quand un bon nom se manipulé pour de mauvaises intentions, il coûte de l’argent, la confiance, le temps et les ressources. UCAPI détecte similitude confusable et visuelle dans les chaînes les tactiques utilisées par les fraudeurs pour manipuler tout de Internationalized Domain Name (IDN) et le contenu de la page pour les interfaces utilisateur et les boîtes de dialogue et aide à protéger votre réputation de mauvaises personnes.

Contactez-nous pour plus d’informations.

Comme les logiciels et les services Internet offerts continuent à globaliser, une meilleure compréhension des menaces autour de l’usurpation d’identité visuelle est nécessaire pour aider les équipes de faire des dessins produits sûrs et sécurisés. Comme les navigateurs Web, les appareils mobiles et les applications évoluent pour soutenir Unicode dans toutes les facettes, Casaba vu la nécessité d’étudier les problèmes de chaîne confusability de plus près.

Au cours de notre recherche, nous avons enregistré plusieurs noms de domaine sosies populaires avec IDN, et signalé de nombreuses vulnérabilités aux éditeurs de logiciels, y compris Apple, Google, Microsoft et Mozilla.

Moyens de défense mis en œuvre dans les principales applications (ou au niveau des registres) créent des ouvertures pour les attaques de phishing bien planifiées. En regardant au-delà des IDN, la surface d’attaque pour usurpation visuel est encore plus large.

De toute évidence, la menace d’une attaque généralisée de l’usurpation d’identité visuelle est encore trop réel et accessible. À cette fin, Casaba développé UCAPI une solution pour analyser des chaînes de caractères similaires, et comparer deux chaînes pour l’aspect visuel.

De nombreux exemples coûteuses qui confusable et visuelle chaîne similitude peut être utilisée comprennent:

  1.      Consommation User-Agents  (Les navigateurs Web et les clients de messagerie)
  2.      Domain Name Registry et le Greffier
  3.      Plates-formes de réseautage social (vanité URL)
  4.      Forums de communication
  5.      Web et mobile Applications
  6.      Réseaux de publicité


pdfDownload la whitepaperfor un regard en profondeur sur les scénarios d’attaque et comment UCAPI les détecte.

Pour un lecteur humain, certaines lettres suivantes sont indiscernables les uns des autres tandis que d’autres se ressemblent beaucoup:


Pour un système informatique Cependant, chacune de ces lettres a une signification très différente. Les bits de sous-jacents qui représentent chaque lettre sont différentes de l’un à l’autre. Comment alors, pourrait un fournisseur de logiciels possible de mettre en œuvre une solution qui garanti escompté apparences visuelles?

Using une solution de bibliothèque de base développé en C et C + + (avec enveloppes. NET), UCAPI empêche les attaques de ce genre en reconnaissant les caractères visuellement confondues et chaînes similaires de la grande diversité des langues étant employées. Partiellement basé sur Unicode TR39, UCAPI peut fournir des éditeurs de logiciels avec des options de sécurité ne sont pas disponibles actuellement en Win32 ou. Bibliothèques NET.

Mis en place une solution de bibliothèque de base multi-plateforme développé en C et C + + (avec des enveloppes spécifiques à la langue), UCAPI empêche les attaques de ce genre par la reconnaissance de caractères visuellement confondues et chaînes similaires de la grande diversité des langues étant employées. Partiellement sur ​​la base du cahier des charges défini par Unicode TR39, UCAPI peut fournir des éditeurs de logiciels avec des options de sécurité ne sont pas disponibles actuellement en Win32 ou. Bibliothèques NET. UCAPI n’est pas spécifique à Windows mais, car il supporte BSD et Linux saveurs ainsi.

Vecteurs claires à la portée de l’attaque

Comme la technologie continue à devenir de plus en plus une partie de nos consommateurs et aux entreprises des mondes, les gens prennent des décisions importantes sur la base de ce qu’ils voient sur ​​leurs écrans visuellement. Qu’il s’agisse d’un message électronique sur un PC, un navigateur Web sur un Mac, ou un URL de réseautage social sur un appareil mobile, nous croyons que les gens réagissent en fonction de ce qu’ils voient. Avec la plupart des grandes plates-formes informatiques et de dispositifs mobiles supportant Unicode attaquants ont la capacité d’utiliser des caractères de ressemblance pour tromper les gens dans de nombreux contextes différents.

L’image ici montre quelques-uns des scénarios où «chaîne confusability» peut jouer un rôle important dans le processus de décision de l’utilisateur final. Une campagne de phishing, pharming ou spam bien conçu peut exploiter l’utilisation des caractères de ressemblance dans tous ces scénarios pour tromper les utilisateurs finaux. Pour lutter contre ces attaques frauduleuses sur les marques et les noms, Casaba a développé la bibliothèque UCAPI qui peuvent vous aider à réduire la menace d’attaques visuels dans vos applications Internet.

Consommateurs User-Agents (les navigateurs Web et les clients de messagerie)

Les navigateurs Web et les clients de messagerie sont les portails à notre information omniprésente. Il n’est pas étonnant que leur cible constante d’une attaque. Les attaques de phishing continuent d’évoluer avec des campagnes e-mail de spam qui ressemblent de plus en plus comme ils viennent de sources authentiques. Comme IDN continuent de devenir plus commercial et de nouvelles émergent glTLDs phishers auront renouvelé munitions à leur disposition pour créer des messages frauduleux et noms de domaine qui ressemblent visuellement identiques à leurs homologues légitimes. Navigateurs Web, clients de messagerie, et les plates-formes anti-phishing pourraient mettre en œuvre la détection de confusability maintenant de commencer à recueillir des données sur l’abus IDN et obtenir un aperçu de ces vecteurs d’attaque avant une attaque généralisée se produit.

Les adresses de courriel ont longtemps été confinés à l’ASCII, mais il y aura certainement un moment où ils sont ouverts à UTF-8 et caractères internationaux. Dans la préparation de cette transition, les concepteurs de client de messagerie doivent anticiper et gérer le cas des adresses e-mail visuellement identiques. Sinon, les utilisateurs finaux peuvent facilement être trompés. Les certificats numériques sont de bons mécanismes pour prouver l’authenticité d’un message; Toutefois, ces certificats prennent également en charge Unicode et sont donc vulnérables aux mêmes attaques.


Domain Name Registry et le Greffier

Les registres et bureaux d’enregistrement Internet sont dans une position unique pour traiter le problème des attaques de type spoofing visuels en IDN. Nous pouvons penser à un certain nombre de façons que cette technologie pourrait être appliquée pour résoudre le problème de l’enregistrement des attaquants malicieusement noms de domaine de sosie. Un registre pourrait travailler en partenariat avec les bureaux d’enregistrement afin de détecter les noms de domaine potentiellement confondues lors de l’inscription. Peut-être plus efficace, ce partenariat pourrait être utilisé pour détecter quand un nouvel enregistrement de domaine est visuellement similaire ou identique à celle qui existe déjà. Avec des millions de domaines enregistrés cela peut ne pas sembler la meilleure utilisation des ressources. Au lieu de cela, un service de protection contre l’usurpation visuelle pourrait être offert pour les noms de domaine qui s’inscrivent pour elle, ou comme une protection contre les meilleurs 10.000 domaines du monde. Comme un registre ou d’enregistrement, vous pouvez évaluer vos capacités autour de cette menace de la zone en posant quelques questions:

  •      Dois-je en visibilité frauduleux de noms de domaine IDN inscriptions effet de levier?
  •      Ai-je une méthode pour détecter et prévenir une parodie IDN d’un nom de domaine populaire?
  •      Dois-je comprendre la façon dont les menaces qui pèsent sur IDN peuvent évoluer au fil du temps?


Plates-formes de réseautage social (vanité URL)

Dans le monde connecté à Internet d’aujourd’hui, les noms de domaine et les URL sont l’immobilier, et les sites de réseautage social comme Facebook, Twitter, LinkedIn et offrent une certaine forme d’une URL de vanité pour les consommateurs. Un service de réseautage social pourrait vouloir autoriser l’enregistrement de la vanité URI en utilisant des caractères internationaux, mais ne peut pas risquer la menace pour la sécurité posé par les innombrables façons dont ils peuvent être manipulés pour fraude visuelle et la confusion. Parce que les caractères Unicode sont bien pris en charge dans la portion de trajet de l’écran URI d’un navigateur, une vanité URI bien conçu pourrait facilement tromper les victimes et être la page d’atterrissage pour une attaque de phishing. Bureau moderne et navigateurs mobiles afficher les caractères après le premier ‘/’ dans leur forme Unicode pur, ce qui pour une bonne convivialité, mais aussi de plus en plus les possibilités de phishing et l’usurpation d’identité.
Par exemple, facebook vanité peut être usurpée utilisant Unicode complètement différent:


Forums de communication

Beaucoup de systèmes en ligne et les jeux vidéo comportant la messagerie instantanée et des forums d’utilisateurs emploient la sécurité de filtre afin d’éviter l’utilisation de mots violents et profanes. Il existe cependant, de nombreuses façons simples de contourner ces filtres tels que l’utilisation des espaces et ponctuation entre les lettres d’un mot (par exemple c_r_a_p), les fautes d’orthographe qui donnent le même effet (par exemple crrap), et en utilisant des caractères similaires qui n’ont pas de côté visuel affecter (par exemple, merde).

Web et mobile Applications

De nombreuses applications de l’Internet donnent des décisions de sécurité à leurs utilisateurs sous la forme de boîtes de dialogue. Par exemple, lorsqu’un utilisateur télécharge un fichier via un navigateur Web, ils sont priés de confirmer leur décision. Quand ils lancent le fichier, ils peuvent également être présentés avec une boîte de dialogue demandant confirmation (si le fichier est une application non fiable. Cependant, une attaque intelligente peut utiliser BIDI spécial ou d’autres caractères qui inversent la direction du texte pour tromper les utilisateurs finaux en l’exécution d’un fichier dangereux qui ressemble innocent.


Réseaux de publicité

Considérons un réseau de publicité qui doit atténuer annonces malveillants, malvertisements, en protégeant les noms de marque déposées d’être enregistré par quelqu’un d’autre que leur propriétaire. Un attaquant pourrait placer une annonce qui contourne les filtres de marque en utilisant des caractères similaires qui trompent les utilisateurs à visiter un site de phishing. Par exemple, Télécharger Microsoft Service Pack 1 pour Windows 7 ici le nom de marque «Microsoft» a été l’artisanat en utilisant un script nonanglais.

UCAPI est une solution qui transcende toutes ces questions avec sa détection de caractères similaires et les chaînes visuellement similaires. En utilisant une bibliothèque native de haute performance avec des recherches sous-nanosecondes ultrarapides, ses capacités évolutives, multi-plateformes créer une feuille de route qui prévoit une couverture pour tous ces scénarios et même plusieurs vecteurs d’attaque non mentionnés ici.

Comments are closed.