Google-होस्टेड दुर्भावनापूर्ण विज्ञापन असली जैसे दिखने वाली नकली Keepass साइट पर ले जाते हैं
(arstechnica.com)- खोज विज्ञापनों और आधिकारिक साइटों पर भरोसा करने की आदत को निशाना बनाते हुए, Keepass के रूप में छिपा Google विज्ञापन ऐसी नकली साइट पर ले जाता है जो सुरक्षा-समझ रखने वाले users को भी धोखा दे सकती है
- क्लिक के बाद address bar में ķeepass[.]info जैसा दिखता है, लेकिन असली domain punycode में encoded xn--eepass-vbb[.]info है और यह FakeBat malware फैलाता है
- यह विज्ञापन शनिवार से बुधवार तक दिखा, और advertiser Google द्वारा पहचान सत्यापित Digital Eagle के रूप में दिखा
- Google विज्ञापन, सामान्य दिखने वाला URL, और वैध TLS certificate साथ में इस्तेमाल होने से केवल address bar देखकर impersonation पहचानना मुश्किल हो जाता है
- सभी 5 प्रमुख browsers में ķeepass[.]info डालने पर impersonation साइट खुलती है, इसलिए शक होने पर नए tab में URL खुद टाइप करें या TLS certificate owner की जांच करें
Google विज्ञापन और Keepass impersonation साइट का मेल
- Google पर Keepass विज्ञापन जैसा दिखने वाला दुर्भावनापूर्ण विज्ञापन दिखाया गया
- विज्ञापन open source password manager Keepass को promote करने जैसा छिपा हुआ था
- चूंकि यह Google विज्ञापन है और माना जाता है कि Google विज्ञापनों की समीक्षा करता है, users इस पर अधिक आसानी से भरोसा कर सकते हैं
- क्लिक करने पर address bar में असली Keepass साइट जैसा दिखने वाला ķeepass[.]info दिखता है
- असली आधिकारिक Keepass साइट keepass.info है
punycode से बनाया गया मिलता-जुलता domain
- address bar में दिखने वाला ķeepass[.]info वास्तव में xn--eepass-vbb[.]info को दर्शाने वाली encoded notation है
- यह साइट FakeBat के रूप में track की जाने वाली malware family फैलाती है
- इस छल में punycode encoding method इस्तेमाल हुआ है
- punycode Unicode characters को standard ASCII text के रूप में दिखाने देता है
- यहां k के नीचे छोटी comma जैसी निशानी वाला character इस्तेमाल किया गया है
- इसके पास वैध TLS certificate भी है, इसलिए केवल address bar देखने पर यह सामान्य साइट जैसी लग सकती है
विज्ञापन पारदर्शिता जानकारी और Google की कार्रवाई
- Google Ad Transparency Center में दिखता है कि यह विज्ञापन शनिवार से बुधवार तक चला
- विज्ञापन के लिए भुगतान करने वाली इकाई Digital Eagle नामक संगठन के रूप में दिखती है
- transparency page में Digital Eagle को Google द्वारा पहचान सत्यापित advertiser बताया गया है
- Google के एक प्रतिनिधि ने publication के बाद email में बताया कि company policies के अनुसार यह विज्ञापन हटा दिया गया है
Malwarebytes का विश्लेषण
- Malwarebytes के threat intelligence प्रमुख Jérôme Segura ने इसे ऐसी संरचना बताया जिसमें user दो चरणों में धोखा खाता है
- पहले पूरी तरह सामान्य दिखने वाले Google विज्ञापन से धोखा
- फिर legitimate साइट जैसी दिखने वाले मिलते-जुलते domain से दोबारा धोखा
- Malwarebytes ने इस scam को बुधवार की post में उजागर किया
- Google विज्ञापन और लगभग वही URL जैसा दिखने वाली website मिलकर मजबूत impersonation effect बनाते हैं
पुराने punycode दुर्भावनापूर्ण मामले
- punycode का दुरुपयोग करने वाले malware scams लंबे समय से मौजूद हैं
- दो साल पहले scammers ने Google विज्ञापनों का इस्तेमाल करके users को brave.com से लगभग समान दिखने वाली site पर भेजा
- उस साइट ने browser का नकली दुर्भावनापूर्ण version distribute किया
- 2017 में एक web application developer ने apple.com जैसा दिखने वाला proof-of-concept site बनाकर punycode technique को व्यापक ध्यान में ला दिया
users कैसे जांच कर सकते हैं
- दुर्भावनापूर्ण Google विज्ञापन या punycode-encoded URL को निश्चित रूप से detect करने का कोई तरीका नहीं है
- ķeepass[.]info को 5 प्रमुख browsers में डालने पर सभी impersonation साइट पर जाते हैं
- शक होने पर नया browser tab खोलकर URL खुद टाइप किया जा सकता है
- URL लंबा होने पर खुद टाइप करना हमेशा व्यावहारिक तरीका नहीं होता
- दूसरा तरीका है TLS certificate inspect करके यह जांचना कि address bar में दिख रही साइट और certificate owner मेल खाते हैं या नहीं
1 टिप्पणियां
Hacker News की रायें
Digital Eagle की पहचान तो जाहिर है Google ने सत्यापित की ही होगी। Google की पहचान-जांच पैसे लेकर चलने वाला तरीका है, और पैसा दे दिया तो समझिए सत्यापित हो गए
“Google के प्रतिनिधि ने ईमेल का तुरंत जवाब नहीं दिया” वाली बात भी संदिग्ध लगती है। पता नहीं Google में असल इंसान ईमेल का जवाब देता भी है या नहीं, और मैंने 10 साल से ज़्यादा समय में कोई जवाब नहीं देखा। phishing और spam रिपोर्ट करने पर भी शक होता है कि सच में कुछ कार्रवाई होती है या नहीं
ईमानदारी से कहें तो अब दुनिया को Google से आगे बढ़ जाना चाहिए। कम से कम 2 साल से ज़्यादा समय से इसे search engine के रूप में सुरक्षित तरीके से इस्तेमाल करना मुश्किल रहा है
ग्राहकों को Google ads के ज़रिए phishing sites पर भेजे जाने के बाद, मैंने अपने द्वारा मैनेज किए जाने वाले सभी networks में नीचे के domains block करने का फैसला किया
googlesyndication.com
googleadservices.com
googletagservices.com
googletagmanager.com
google-analytics.com
Google की ताकत कई सालों में धीरे-धीरे खराब होती गई है। Windows के साथ भी कुछ ऐसा ही है—marketing और ads एक ठीक-ठाक product को खराब कर रहे हैं
ऐसे ads के पास हो जाने की वजह भी कुछ ऐसी ही लगती है। काफी हद तक यह mass reporting पर निर्भर करता है, और “report problem” link खराब ads को छांटने वाले मुख्य mechanisms में से एक होगा। अगर और ज्यादा खराब ads पास हो रहे हैं, तो यह संकेत हो सकता है कि reports में समय लगाने वाले लोग बहुत कम हो गए हैं और mass reporting वाला संतुलन बिगड़ रहा है
वाकई वह अलग दौर था
namecheap को malicious website report करने पर वे कई महीनों तक live रह सकती हैं, और वे भी खराब हैं, लेकिन abuse reports संभालने में उनसे भी बदतर जगहें बहुत हैं। Google भी बेहतर कर सकता है, लेकिन असल में वह काफी ठीक है
हालांकि यह मामला एक और वजह है कि सभी को ads block करने चाहिए। ad blocking सभी को ज्यादा सुरक्षित बनाती है
ad intermediaries को scam ads के लिए आंशिक रूप से जिम्मेदार ठहराना चाहिए, या ads में मजबूत real-name identity लागू करनी चाहिए, या दोनों करने चाहिए। सामान्य publications पर जर्मन-style impressum अनिवार्य करना मुझे पसंद नहीं है, लेकिन ads अलग हैं
क्योंकि ads ऐसी जगहों पर आक्रामक ढंग से घुसाए जाते हैं जिन्हें user control नहीं कर सकता। पूरे ads block करने के अलावा कोई विकल्प नहीं है
ad के कोने पर click करने से जिम्मेदार company का company number और business address दिखना चाहिए। दूसरे देशों से आने वाले “foreign” ads को और सख्ती से verify किया जाना चाहिए। क्योंकि अगर वह scam हो, तो anonymous न होने पर भी राहत पाना कहीं ज्यादा मुश्किल होता है
लेख के मुताबिक, भले ही address bar में ķeepass[.]info ऐसा दिखता हो, असल में यह xn--eepass-vbb[.]info को दर्शाने वाला encoded notation है, और FakeBat malware distribute कर रहा था। Google ads और लगभग उसी URL वाली website के combination ने इसे करीब-करीब perfect धोखा बना दिया
2017 में कहा गया था कि Google Chrome 59 ने Punycode phishing attack को fix कर दिया था। उदाहरण: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
शायद किसी जिद्दी अपराधी ने Punycode जांचने वाले Chromium source code का analysis करके,
kकी जगहķallow करने वाली खामी ढूंढ ली होhttps://www.xn--80ak6aa92e.com/ --> नकली “аррӏе.com” phishing warning दिखाता है
https://xn--eepass-vbb.info/ --> नकली “ķeepass.info” warning नहीं दिखाता
ķ(U+0137) Latin character [2] में आता है, इसलिए लगता है कि “ķeepass.info” mixed-script confusable check में नहीं फंसेगा“whole-script confusables” glyphs [3] की list में भी
ķनहीं दिखता। क्या इसे इसमें शामिल करना चाहिए? उस file के Greek character section में “ά, έ, ή, ί जैसी variants को ignore करें” वाली टिप्पणी है, इसलिए शायद accents वाले characters को आम तौर पर confusable न मानने का कोई rule होअगर ऐसा है तो कुछ हद तक समझ आता है। उदाहरण के लिए अगर
éवाला domain name Punycode रूप में दिखे, तो French users काफी निराश होंगे[1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
[2] https://www.compart.com/en/unicode/U+0137
[3] https://source.chromium.org/chromium/chromium/src/+/main:com...
आखिर “göogle.com” पर तो कोई नहीं जाएगा, है न?
Google एक तरफ YouTube पर ad blockers से जंग लड़ रहा है, और साथ ही फिर दिखा रहा है कि safe ads दिखाने की जिम्मेदारी उस पर बिल्कुल भरोसे से नहीं छोड़ी जा सकती
ऊपर से वह छोटे बच्चों को war videos भी ads के रूप में दिखाता है
मुझे खास तौर पर “phone को magically defrag कर देने वाले” बेवकूफ brick-type charger ads और micro ghost pistol ads पसंद हैं
मैं खुद को security के प्रति काफी सजग मानता हूं, लेकिन पता नहीं इसे पकड़ पाता या नहीं। uBO को बिना पछतावे इस्तेमाल करने की एक और वजह
“कंपनी ने कहा कि scam ads report होने पर वह उन्हें जितनी जल्दी हो सके तुरंत हटा देती है”
अगर वे solution का हिस्सा बनना चाहते, तो ad publish होने से पहले उसे verify करते। लेकिन वह scale नहीं करता, इसलिए लोग scam में फंसते हैं, समाज को नुकसान होता है, और Google बेहिसाब पैसा कमाता है। काफी fair trade है...?
जैसा कई लोगों ने कहा है, internet ad blocking healthy और safe internet use का हिस्सा है
moderation एक मुश्किल समस्या है। हमें सही चीजों के लिए convenience चाहिए, और जरा भी संदिग्ध चीजों पर strong blocking चाहिए। कुछ न कुछ छूटना ही है
यहां असली बात यह है कि क्या यह isolated case है, या Google ads में ऐसी approvals के कई मामलों वाली prominent problem है; article इसका जवाब नहीं देता
1 साल पहले भी यही समस्या थी, और domain name prefix भी वही लगता है
https://www.bleepingcomputer.com/news/security/google-ad-for...
अगर मुझे KYC (ग्राहक पहचान प्रक्रिया) की वजह से तरह-तरह की प्रक्रियाओं से गुजरना पड़ता है, तो अच्छा होगा कि ज़िंदगी मुश्किल बनाने वाले ऐसे मामलों में कंपनियों को भी वही करना पड़े
भ्रामक विज्ञापन, स्पैम कॉल, Amazon जैसी जगहों पर नकली सामान, ईमेल तक—सब इसी में आते हैं
ऐसा लगता है जैसे सब कुछ इस तरह बनाया गया है कि दुनिया का हर ठग मुझ तक 100% पहुंच सके, लेकिन जिन कंपनियों की वजह से यह सब संभव होता है, उन तक किसी भी तरह पहुंचना मुमकिन नहीं
यह काफी चालाक तरीका है। अगर मैंने यह लिंक विज्ञापन से अलग किसी संदर्भ में देखा होता, तो शायद मैं भी फंस जाता
आम Unicode substitution में अक्षर थोड़े-से भी अजीब दिखते हैं, इसलिए उन्हें पहचानना सीख लिया था, लेकिन यह मामला अलग था। तीर इशारा कर रहा था फिर भी
kके नीचे का डॉट मुझे नहीं दिखा, और मेरी आंखों को वह मॉनिटर की छोटी-सी धूल या मैल जैसा लगास्क्रीन पर ऐसी चीजें बहुत होती हैं, और हमारा visual system ऐसे noise को अच्छी तरह ignore कर देता है
यह रोशनी रोकने वाली काली pixel जैसी धूल नहीं, बल्कि चमकती हुई सफेद pixel है। मैंने dark mode को security बढ़ाने के साधन के रूप में कभी नहीं सोचा था :)
Punycode का उद्देश्य शुरू से ही संदिग्ध लगता है। यह बात मुख्यतः Latin alphabet users के नजरिए से है, लेकिन पिछले 10 सालों में मैंने जितनी भी non-Latin script वाली साइटें देखीं, वे सब सामान्य ASCII domains इस्तेमाल करती थीं
Unicode की अनुमति देने वाली websites के usernames में भी दिखता है कि non-Latin script users भी ज्यादातर Latin alphabet usernames ही इस्तेमाल करते हैं
वास्तव में Punycode जहां इस्तेमाल होता है, वे लगभग सभी spam domains ही हैं। Cyrillic script या Asian domains भी ज्यादातर Punycode इस्तेमाल नहीं करते
Punycode का concept समझ में आता है और तकनीकी रूप से प्रभावशाली है, लेकिन domains में यह एक बड़ा phishing headache बन गया है
कई European languages इस्तेमाल करने वाले मेरे लिए भी जरूरी Unicode characters 10 से कम हैं, और सच कहें तो हर एक अभी भी 8-bit ISO 8859-15 code है। जरूरत होने के बावजूद, ज्यादातर sites Punycode domain तक register नहीं करतीं और नाम का बिगड़ा हुआ ASCII version इस्तेमाल करती हैं
व्यावहारिक कदम के तौर पर, browsers को तब पूछना चाहिए जब user पहली बार non-ASCII character वाला URL type करे कि क्या वह किसी खास भाषा के URLs को allow करना चाहता है। सिर्फ एक-दो भाषाएं allow करने से भी ज्यादातर users के लिए attack surface काफी कम हो जाएगा
उदाहरण के लिए, अभी asahi.com 朝日 (Asahi Shimbun) ने ले रखा है, इसलिए Asahi town (旭) इसे इस्तेमाल नहीं कर सकता। बेशक asahi-town.co.jp जैसा कुछ इस्तेमाल किया जा सकता है, लेकिन Asahi नाम वाले कई दूसरे place names भी हैं जिनकी लिखावट अलग है (旭日, 朝陽, 浅緋 आदि)
इन सबको किसी मनमाने ASCII variant का इस्तेमाल करने को कहना ठीक नहीं है। सिर्फ Japanese place names की बात करें तो भी इतना जटिल है, और पूरे hanzi/kanji क्षेत्र में overlap की समस्या अलग है
ऐसे domains वास्तव में register हुए हैं या नहीं, यह कुछ chicken-and-egg समस्या जैसा है, और ऊपर वाला collision space ASCII alphabet के भीतर साफ-सुथरे तरीके से हल होता नहीं दिखता
Western ASCII domains का fraud के लिए vulnerable होना समस्या है, लेकिन एक समस्या हल करते-करते बहुत ज्यादा नुकसान कर देना भी ठीक नहीं
हालांकि
.рфजैसे dedicated top-level domains में मैं Punycode को अपने-आप में समस्या नहीं मानता। उदाहरण के लिए кремль.рф जैसा रूप मुझे ठीक लगता हैआप कह सकते हैं कि ASCII से आगे की हर चीज संदिग्ध है, लेकिन जिन लोगों की मातृभाषा English नहीं है, वे हमेशा इसका विरोध करेंगे
malicious ads कम करने का एक तरीका transparency है। हर ad में advertiser का legal contact, यानी company name और country शामिल होना चाहिए
इससे समस्या पूरी तरह हल नहीं होगी, लेकिन consumers संदिग्ध Eastern European company के ads से बच सकेंगे। Security researchers के लिए malicious actors को track करना भी आसान होगा, और ad platform Google पर भी कुछ हद तक जिम्मेदारी आएगी
Facebook political ads में पहले से ऐसा कर रहा है, इसलिए यह संभव है
जब तक सरकार मजबूर न करे या legal liability का risk बहुत ज्यादा न हो जाए, वे इसे स्वेच्छा से नहीं करेंगे
यह थोड़ा xenophobic नहीं है?
[0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...