Varonis Threat Labs menyoroti kerentanan berusia satu dekade yang membuka pintu bagi spoofing URL.
Dengan mengeksploitasi cara browser menangani skrip Kanan-ke-Kiri (RTL) dan Kiri-ke-Kanan (LTR), penyerang dapat membuat URL yang tampak dapat dipercaya namun sebenarnya mengarah ke tempat lain, oleh karena itu metode ini, yang dikenal sebagai BiDi Swap, sering kali disalahgunakan dalam serangan phishing.
Serangan Unicode dan spoofing di masa lalu
Sebelum BiDi Swap, beberapa trik berbasis Unicode digunakan untuk mengelabui pengguna dan browser agar menampilkan teks atau URL yang menipu. Dua contoh menonjol adalah:
- kode puny Serangan Homograf: Nama Domain yang Diinternasionalkan (IDN) memungkinkan situs web menggunakan karakter non-Latin (misalnya, “а” dalam bahasa Rusia, “с” dalam Sirilik, atau “ο” dalam bahasa Yunani) yang terlihat hampir sama dengan huruf Latin yang terkenal. Ini dapat membuat domain palsu seperti “аpple.com” atau “рayрal.com” dengan hanya sedikit perbedaan karakter. Browser mengonversinya untuk penanganan yang konsisten (misalnya, “xn--sesuatu”), namun penyerang sering kali menyelinap dalam karakter yang secara visual identik, menipu orang agar percaya bahwa mereka berada di situs yang sah.
- Eksploitasi Penggantian RTL: Beberapa penyerang menyematkan karakter Unicode khusus (misalnya, U+202E) yang membalikkan arah teks di tengah string. Ini dapat menyamarkan jalur URL, membuat ekstensi file terlihat tidak berbahaya, atau menyusun ulang teks untuk menyembunyikan akhiran file berbahaya seperti: “blafdp.exe” -> “blaexe.pdf”
Meskipun karakter kontrol ini diperlukan untuk menangani bahasa kanan-ke-kiri dengan benar, karakter kontrol ini juga dapat menutupi konten berbahaya atau mengatur ulang tata letak, sehingga nama situs atau file tampak aman dalam sekejap.
Serangan-serangan di masa lalu ini membuka peluang bagi BiDi Swap dengan mengungkapkan betapa sedikit perbedaan dalam penanganan teks dapat menimbulkan konsekuensi keamanan yang besar dan betapa kewaspadaan berkelanjutan diperlukan untuk mencegah trik spoofing ini.
LTR, RTL dan BiDi siapa?
Terkait arah teks, banyak bahasa, seperti Inggris atau Spanyol, mengalir dari kiri ke kanan (LTR), sementara bahasa lain, seperti Arab atau Ibrani, mengalir dari kanan ke kiri (RTL). Perpaduan ini dapat menjadi tantangan bagi komputer, yang harus menjaga semuanya tetap selaras sehingga teks tidak menjadi berantakan.
Di situlah Algoritma Dua Arah (Bidi). melangkah masuk.
Sebagai bagian dari Standar Unicode, Bidi membantu komputer menampilkan skrip LTR dan RTL dengan benar dalam teks yang sama.
Namun, meskipun Algoritma Bidi biasanya menangani domain dengan baik, Algoritma Bidi kesulitan menangani subdomain dan parameter URL. Kesenjangan ini berarti URL campuran LTR–RTL mungkin tidak ditampilkan sebagaimana mestinya, sehingga membuka peluang terjadinya kerusakan.
Struktur URL
Berikut ini penyegaran singkat tentang apa itu URL dan bagaimana strukturnya: URL (Uniform Resource Locator) adalah cara standar untuk menunjuk ke sumber daya di web, dan biasanya berisi beberapa komponen utama:
- Protokol (Skema): Ini menentukan cara sumber daya diakses, misalnya “http://” atau “https://.”
- Subdomain: Bagian opsional sebelum domain utama (misalnya, “www.” di “www.example.com”), yang dapat mengatur konten dalam situs yang lebih besar
- Domain: Bagian inti dari alamat (misalnya, “contoh”)
- Domain Tingkat Atas (TLD): Akhiran nama domain (misalnya, “.com,” “.org,” “.net”) yang sering kali menunjukkan tujuan atau lokasi geografis
- Jalur: Direktori atau struktur file yang muncul setelah domain (misalnya, “/blog/posts”)
- String/Parameter Kueri: Pasangan kunci-nilai digunakan untuk meneruskan informasi tambahan ke server, biasanya dimulai dengan tanda tanya (misalnya, “?id=123”)
Pertukaran Bidi
Mari kita mulai dengan sesuatu yang sederhana: host biasa dari kanan ke kiri (RTL) (domain + TLD) mungkin terlihat seperti ini (Ya, kami memiliki host satu huruf):
Sekarang, mari tambahkan protokol dan gabungkan parameter RTL dan LTR:
Perhatikan bagaimana menempatkan parameter di sebelah kanan dengan cepat menjadi membingungkan. Selanjutnya, coba tambahkan parameter bahasa Inggris yang terlihat seperti nama domain lain:
Itu masih belum menghasilkan perilaku yang diharapkan. Sekarang, mari kita lihat apa yang terjadi saat kita mencoba meniru subdomain:
Menggabungkan subdomain LTR dengan beberapa parameter RTL:
Lebih banyak muatan
Cobalah sendiri: Ubah varonis subdomain ke domain mana pun yang Anda suka dan saksikan keajaiban terjadi!
Penafian: Situs ini disediakan dengan adanya dan dimaksudkan semata-mata untuk tujuan pendidikan dan informasi. Ini menunjukkan bukti konsep terkait dengan perilaku browser dan potensi penyalahgunaan. Pengguna bertanggung jawab penuh atas segala penggunaan kode atau teknik yang disajikan di sini, termasuk segala konsekuensi yang mungkin timbul. Penulis dan pengelola situs ini tidak mendukung atau mendorong penyalahgunaan, dan tidak ada tanggung jawab yang diterima atas tindakan apa pun yang diambil berdasarkan konten ini.
Mitigasi peramban
krom
Bidi Swap telah menjadi masalah umum di Chrome selama lebih dari satu dekade. Meskipun fitur “Saran navigasi untuk URL serupa” di Chrome memberikan perlindungan parsial, pengujian kami menunjukkan bahwa fitur tersebut hanya menandai domain tertentu (misalnya, “google.com”), sehingga banyak domain lainnya tidak terdeteksi.
Firefox
Firefox juga menyadari hal ini sebagai masalah yang sudah berlangsung lama. Namun, dibandingkan mengandalkan saran untuk URL yang mirip, Firefox menggunakan pendekatan UI yang berbeda. Dengan menyorot bagian-bagian penting dari domain di bilah alamat, Firefox memudahkan pengguna menemukan potensi spoof atau tautan mencurigakan.
Tepian
Kami memberi tahu Microsoft dan mereka menandai masalah tersebut telah terselesaikan, namun representasi URL tampaknya tetap tidak berubah.
BUSUR
Arc tidak lagi dikembangkan, namun berikut adalah contoh browser yang melakukannya dengan benar:
Kesimpulan dan rekomendasi
Untuk memerangi BiDi Swap, ikuti rekomendasi berikut:
- Kesadaran adalah kuncinya: Selalu verifikasi URL yang mencurigakan — terutama URL yang mencampurkan skrip atau menunjukkan pola yang tidak terduga
- Dorongan untuk perbaikan: Pengembang browser harus menyempurnakan perlindungan yang ada seperti penyorotan domain dan deteksi kemiripan untuk menutup celah keamanan ini
- Mendidik pengguna dan tim: Dorong semua orang untuk mengarahkan kursor ke tautan, mengonfirmasi sertifikat SSL, dan memeriksa konsistensi domain. Beberapa detik tambahan dapat menggagalkan risiko keamanan yang besar.
Menemukan lebih banyak dari tim Varonis Threat Labs di blog kami.
Pendekatan end-to-end untuk menghentikan pelanggaran
Dengan menawarkan deteksi ancaman Varonis Interceptor yang tak tertandingi dengan Platform Keamanan Data Pahlawan Dan layanan MDDRkami mempercepat kemampuan kami untuk menghentikan upaya pelanggaran data di awal rantai serangan.
Varonis terintegrasi langsung dengan layanan email seperti Microsoft Exchange Online untuk mengklasifikasikan lalu lintas masuk dan keluar yang berisi informasi sensitif, memperbaiki masalah postur pada kotak surat yang terbuka, dan memantau lalu lintas email yang tidak wajar untuk mengetahui risiko orang dalam menggunakan analisis perilaku terdepan di industri.
Penambahan Varonis Interceptor mewakili kemajuan signifikan dalam keamanan email dan browser end-to-end. Dengan memanfaatkan kekuatan AI multimodal, teknologi ini dapat mengidentifikasi dan memitigasi ancaman phishing secara lebih efektif dibandingkan solusi yang ada di pasar saat ini. Varonis Interceptor memungkinkan bisnis dengan percaya diri melindungi kotak masuk mereka dan, selanjutnya, data sensitif di kawasan digital mereka.
Ingin melihat apa yang bisa dilakukan Interceptor lebih cepat? Minta demo hari ini.
Disponsori dan ditulis oleh Pahlawan.
