Stylizowanie adresu fałszywej strony internetowej banku na jej oryginał to nic nowego. Czasem jednak podróbka może być zamaskowana lepiej niż zwykle. Dużo lepiej.
Kreatywność przestępców w dziedzinie maskowania fałszywych domen nie zna granic. W tej materii widzieliśmy już cały wachlarz pomysłów. Ot, choćby tak banalnych jak podmiana litery o na cyfrę 0, albo wielkiej litery i na małą l i odwrotnie, ale też bardziej brawurowych, w tym np. skorzystanie z innej domeny krajowej czy intencjonalna literówka.
Tym razem jednak sprawa jest nietypowa, bo dotyczy miniaturowej kropki, która może znaleźć się nad jedną z liter w adresie. Piekielnie trudnej do dostrzeżenia, a oczywiście nie mniej groźnej, gdyż znowu prowadzącej do fałszywej witryny – zgodnie ostrzegały mBank i Pekao SA, a od wtorku robi to również Bank BPS. Jedynie kwestią czasu wydaje się aż do zestawienia dołączą kolejne instytucje.
Zagrożenie najłatwiej jest zobrazować na przykładzie. Spójrzcie na te dwie domeny: e25[.]pl i ė25[.]pl. To, co je różni, to właśnie niewielka kropka nad literą e. Lub jej brak. Choć na pierwszy rzut oka detal ten łatwo przeoczyć, w praktyce rozbieżność jest gigantyczna. Podczas gdy pierwszy adres prowadzi do oficjalnego serwisu transakcyjnego Banku BPS, pod drugim może znajdować się strona przygotowana przez złodziei, wykradająca wpisywane dane.
Oczywiście nic nie stoi na przeszkodzie, aby podobna kropka znalazła się w towarzystwie innej litery. Niekoniecznie pod nią, ale też powyżej niej. Tak czy siak, efekt zawsze jest ten sam, równie niepożądany: użytkownik trafia w miejsce potencjalnie niebezpieczne i może o tym zupełnie nie wiedzieć. Po czym uzupełnić poświadczenia i podać napastnikom na tacy zawartość swojego konta.
Ale jak to się w ogóle dzieje? – zapytacie. Wbrew pozorom, litery z kropkami znajdują się bezpośrednio w alfabecie łacińskim rozszerzonym, przez co wchodzą również w skład komputerowego zestawu znaków unicode. Nawiasem, ze wspomnianego wcześniej ė korzystają m.in. Litwini. Teraz – obowiązująca w sieci specyfikacja RFC formalnie wymusza kodowanie tego rodzaju znaków w procentach, czyli problemu być nie powinno, ale twórcy przeglądarek wolą parsować kodowanie (zamieniać na znaki alfabetu), by uzyskać ładne dla oka adresy.
Dzięki temu funkcjonować może m.in. domena düsseldorf[.]de, ale przy okazji otwiera się pole do popisu dla naciągaczy. Coś za coś, jak to mówią. Redakcja tradycyjnie przypomina, by dokonując w internecie transakcji bankowych, zachować szczególną ostrożność. Zwłaszcza w okresie przedświątecznym, który rokrocznie stanowi dla krętaczy motywację do zintensyfikowania działań.
Źródło zdjęć: Shutterstock (Andrzej Rostek)
Źródło tekstu: Bank BPS, oprac. własne