1 पॉइंट द्वारा GN⁺ 2023-10-20 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • खोज विज्ञापनों और आधिकारिक साइटों पर भरोसा करने की आदत को निशाना बनाते हुए, Keepass के रूप में छिपा Google विज्ञापन ऐसी नकली साइट पर ले जाता है जो सुरक्षा-समझ रखने वाले users को भी धोखा दे सकती है
  • क्लिक के बाद address bar में ķeepass[.]info जैसा दिखता है, लेकिन असली domain punycode में encoded xn--eepass-vbb[.]info है और यह FakeBat malware फैलाता है
  • यह विज्ञापन शनिवार से बुधवार तक दिखा, और advertiser Google द्वारा पहचान सत्यापित Digital Eagle के रूप में दिखा
  • Google विज्ञापन, सामान्य दिखने वाला URL, और वैध TLS certificate साथ में इस्तेमाल होने से केवल address bar देखकर impersonation पहचानना मुश्किल हो जाता है
  • सभी 5 प्रमुख browsers में ķeepass[.]info डालने पर impersonation साइट खुलती है, इसलिए शक होने पर नए tab में URL खुद टाइप करें या TLS certificate owner की जांच करें

Google विज्ञापन और Keepass impersonation साइट का मेल

  • Google पर Keepass विज्ञापन जैसा दिखने वाला दुर्भावनापूर्ण विज्ञापन दिखाया गया
  • विज्ञापन open source password manager Keepass को promote करने जैसा छिपा हुआ था
  • चूंकि यह Google विज्ञापन है और माना जाता है कि Google विज्ञापनों की समीक्षा करता है, users इस पर अधिक आसानी से भरोसा कर सकते हैं
  • क्लिक करने पर address bar में असली Keepass साइट जैसा दिखने वाला ķeepass[.]info दिखता है
  • असली आधिकारिक Keepass साइट keepass.info है

punycode से बनाया गया मिलता-जुलता domain

  • address bar में दिखने वाला ķeepass[.]info वास्तव में xn--eepass-vbb[.]info को दर्शाने वाली encoded notation है
  • यह साइट FakeBat के रूप में track की जाने वाली malware family फैलाती है
  • इस छल में punycode encoding method इस्तेमाल हुआ है
    • punycode Unicode characters को standard ASCII text के रूप में दिखाने देता है
    • यहां k के नीचे छोटी comma जैसी निशानी वाला character इस्तेमाल किया गया है
  • इसके पास वैध TLS certificate भी है, इसलिए केवल address bar देखने पर यह सामान्य साइट जैसी लग सकती है

विज्ञापन पारदर्शिता जानकारी और Google की कार्रवाई

  • Google Ad Transparency Center में दिखता है कि यह विज्ञापन शनिवार से बुधवार तक चला
  • विज्ञापन के लिए भुगतान करने वाली इकाई Digital Eagle नामक संगठन के रूप में दिखती है
  • transparency page में Digital Eagle को Google द्वारा पहचान सत्यापित advertiser बताया गया है
  • Google के एक प्रतिनिधि ने publication के बाद email में बताया कि company policies के अनुसार यह विज्ञापन हटा दिया गया है

Malwarebytes का विश्लेषण

  • Malwarebytes के threat intelligence प्रमुख Jérôme Segura ने इसे ऐसी संरचना बताया जिसमें user दो चरणों में धोखा खाता है
    • पहले पूरी तरह सामान्य दिखने वाले Google विज्ञापन से धोखा
    • फिर legitimate साइट जैसी दिखने वाले मिलते-जुलते domain से दोबारा धोखा
  • Malwarebytes ने इस scam को बुधवार की post में उजागर किया
  • Google विज्ञापन और लगभग वही URL जैसा दिखने वाली website मिलकर मजबूत impersonation effect बनाते हैं

पुराने punycode दुर्भावनापूर्ण मामले

  • punycode का दुरुपयोग करने वाले malware scams लंबे समय से मौजूद हैं
  • दो साल पहले scammers ने Google विज्ञापनों का इस्तेमाल करके users को brave.com से लगभग समान दिखने वाली site पर भेजा
    • उस साइट ने browser का नकली दुर्भावनापूर्ण version distribute किया
  • 2017 में एक web application developer ने apple.com जैसा दिखने वाला proof-of-concept site बनाकर punycode technique को व्यापक ध्यान में ला दिया

users कैसे जांच कर सकते हैं

  • दुर्भावनापूर्ण Google विज्ञापन या punycode-encoded URL को निश्चित रूप से detect करने का कोई तरीका नहीं है
  • ķeepass[.]info को 5 प्रमुख browsers में डालने पर सभी impersonation साइट पर जाते हैं
  • शक होने पर नया browser tab खोलकर URL खुद टाइप किया जा सकता है
  • URL लंबा होने पर खुद टाइप करना हमेशा व्यावहारिक तरीका नहीं होता
  • दूसरा तरीका है TLS certificate inspect करके यह जांचना कि address bar में दिख रही साइट और certificate owner मेल खाते हैं या नहीं

1 टिप्पणियां

 
GN⁺ 2023-10-20
Hacker News की रायें
  • Digital Eagle की पहचान तो जाहिर है Google ने सत्यापित की ही होगी। Google की पहचान-जांच पैसे लेकर चलने वाला तरीका है, और पैसा दे दिया तो समझिए सत्यापित हो गए
    “Google के प्रतिनिधि ने ईमेल का तुरंत जवाब नहीं दिया” वाली बात भी संदिग्ध लगती है। पता नहीं Google में असल इंसान ईमेल का जवाब देता भी है या नहीं, और मैंने 10 साल से ज़्यादा समय में कोई जवाब नहीं देखा। phishing और spam रिपोर्ट करने पर भी शक होता है कि सच में कुछ कार्रवाई होती है या नहीं
    ईमानदारी से कहें तो अब दुनिया को Google से आगे बढ़ जाना चाहिए। कम से कम 2 साल से ज़्यादा समय से इसे search engine के रूप में सुरक्षित तरीके से इस्तेमाल करना मुश्किल रहा है
    ग्राहकों को Google ads के ज़रिए phishing sites पर भेजे जाने के बाद, मैंने अपने द्वारा मैनेज किए जाने वाले सभी networks में नीचे के domains block करने का फैसला किया
    googlesyndication.com
    googleadservices.com
    googletagservices.com
    googletagmanager.com
    google-analytics.com

    • और साफ़ कहूँ तो, मेरे हिसाब से Google की search क्षमता 2000 के दशक के आखिर से 2010 के दशक की शुरुआत के आसपास से ही गिरने लगी थी। पहले पूरा वाक्य ज्यों का त्यों डालने पर भी मिल जाता था, लेकिन अब तो double quotes वाला search भी ठीक से काम नहीं करता
      Google की ताकत कई सालों में धीरे-धीरे खराब होती गई है। Windows के साथ भी कुछ ऐसा ही है—marketing और ads एक ठीक-ठाक product को खराब कर रहे हैं
    • “क्या Google में सच में कोई ईमेल का जवाब देता है?” इस पर, Google हमेशा scalable चीज़ों पर केंद्रित रहा है। इंसानों का फोन या मेल का जवाब देना scale नहीं करता, इसलिए users के लिए customer support नहीं है
      ऐसे ads के पास हो जाने की वजह भी कुछ ऐसी ही लगती है। काफी हद तक यह mass reporting पर निर्भर करता है, और “report problem” link खराब ads को छांटने वाले मुख्य mechanisms में से एक होगा। अगर और ज्यादा खराब ads पास हो रहे हैं, तो यह संकेत हो सकता है कि reports में समय लगाने वाले लोग बहुत कम हो गए हैं और mass reporting वाला संतुलन बिगड़ रहा है
    • 2007 में मैंने एक forum पर ऐसी पोस्ट डाली थी जिससे मेरी व्यक्तिगत पहचान हो सकती थी। forum से तो हटा दी, लेकिन Google search results के summary में बची हुई थी। मैंने Google को ईमेल करके हटाने को कहा, तो उन्होंने सच में हटा दी और किसी ने “done” लिखकर जवाब भी दिया
      वाकई वह अलग दौर था
    • मैं आमतौर पर Google की आलोचना करने में आगे रहता हूँ, लेकिन अगर Google को phishing report खूब की जाए, तो कम से कम Google पर hosted phishing sites काफी जल्दी हट जाती हैं। मुझे कभी कोई जवाब नहीं मिला और मेरा मानना है कि यह सब automated होगा, लेकिन यह दूसरे hosting providers से कहीं बेहतर है
      namecheap को malicious website report करने पर वे कई महीनों तक live रह सकती हैं, और वे भी खराब हैं, लेकिन abuse reports संभालने में उनसे भी बदतर जगहें बहुत हैं। Google भी बेहतर कर सकता है, लेकिन असल में वह काफी ठीक है
      हालांकि यह मामला एक और वजह है कि सभी को ads block करने चाहिए। ad blocking सभी को ज्यादा सुरक्षित बनाती है
    • जिज्ञासा है कि इस तरह block करने पर क्या आपने कभी ऐसी websites देखी हैं जो काम करना बंद कर देती हैं
  • ad intermediaries को scam ads के लिए आंशिक रूप से जिम्मेदार ठहराना चाहिए, या ads में मजबूत real-name identity लागू करनी चाहिए, या दोनों करने चाहिए। सामान्य publications पर जर्मन-style impressum अनिवार्य करना मुझे पसंद नहीं है, लेकिन ads अलग हैं
    क्योंकि ads ऐसी जगहों पर आक्रामक ढंग से घुसाए जाते हैं जिन्हें user control नहीं कर सकता। पूरे ads block करने के अलावा कोई विकल्प नहीं है
    ad के कोने पर click करने से जिम्मेदार company का company number और business address दिखना चाहिए। दूसरे देशों से आने वाले “foreign” ads को और सख्ती से verify किया जाना चाहिए। क्योंकि अगर वह scam हो, तो anonymous न होने पर भी राहत पाना कहीं ज्यादा मुश्किल होता है

  • लेख के मुताबिक, भले ही address bar में ķeepass[.]info ऐसा दिखता हो, असल में यह xn--eepass-vbb[.]info को दर्शाने वाला encoded notation है, और FakeBat malware distribute कर रहा था। Google ads और लगभग उसी URL वाली website के combination ने इसे करीब-करीब perfect धोखा बना दिया
    2017 में कहा गया था कि Google Chrome 59 ने Punycode phishing attack को fix कर दिया था। उदाहरण: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
    शायद किसी जिद्दी अपराधी ने Punycode जांचने वाले Chromium source code का analysis करके, k की जगह ķ allow करने वाली खामी ढूंढ ली हो
    https://www.xn--80ak6aa92e.com/ --> नकली “аррӏе.com” phishing warning दिखाता है
    https://xn--eepass-vbb.info/ --> नकली “ķeepass.info” warning नहीं दिखाता

    • संबंधित Chrome के internationalized domain rules [1] में “mixed-script confusables” और “whole-script confusables” detection मुख्य लगता है
      ķ(U+0137) Latin character [2] में आता है, इसलिए लगता है कि “ķeepass.info” mixed-script confusable check में नहीं फंसेगा
      “whole-script confusables” glyphs [3] की list में भी ķ नहीं दिखता। क्या इसे इसमें शामिल करना चाहिए? उस file के Greek character section में “ά, έ, ή, ί जैसी variants को ignore करें” वाली टिप्पणी है, इसलिए शायद accents वाले characters को आम तौर पर confusable न मानने का कोई rule हो
      अगर ऐसा है तो कुछ हद तक समझ आता है। उदाहरण के लिए अगर é वाला domain name Punycode रूप में दिखे, तो French users काफी निराश होंगे
      [1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
      [2] https://www.compart.com/en/unicode/U+0137
      [3] https://source.chromium.org/chromium/chromium/src/+/main:com...
    • शुरुआती “Punycode attack” Cyrillic वगैरह का इस्तेमाल करके ऐसे characters का फायदा उठाता था जिन्हें “असली” अक्षरों से बिल्कुल अलग नहीं पहचाना जा सकता था। शायद यह मान लिया गया था कि users diacritic marks वाले characters को, भले ही वे screen की धूल से अलग करना मुश्किल हों, पहचानकर बच सकते हैं
      आखिर “göogle.com” पर तो कोई नहीं जाएगा, है न?
  • Google एक तरफ YouTube पर ad blockers से जंग लड़ रहा है, और साथ ही फिर दिखा रहा है कि safe ads दिखाने की जिम्मेदारी उस पर बिल्कुल भरोसे से नहीं छोड़ी जा सकती
    ऊपर से वह छोटे बच्चों को war videos भी ads के रूप में दिखाता है

    • मैं लगातार inappropriate, scammy या खुलेआम illegal ads report कर रहा हूं, लेकिन वे आम तौर पर 1–2 हफ्ते में वापस आ जाते हैं या शुरू में हटाए ही नहीं जाते
      मुझे खास तौर पर “phone को magically defrag कर देने वाले” बेवकूफ brick-type charger ads और micro ghost pistol ads पसंद हैं
    • और उसी दौरान वह journalists को context से अलग war footage इस्तेमाल करने से रोक रहा है
    • सात साल के बच्चे को razor समेत shaving kit ads लगातार दिखते रहे। जाहिर है Google को पता होगा कि उसके पापा की बड़ी दाढ़ी है, लेकिन मजाक अलग रखिए, मैं नहीं चाहता था कि बच्चे की blades में दिलचस्पी बने, इसलिए पूरे घर में ad blocking लगा दी
    • safe ads दिखाने हैं तो इसका मतलब है कि कोई ads को review करे। जिस building में Google लोगों से YouTube ads दिखवाएगा, उसे Foxconn-style nets की जरूरत पड़ेगी
  • मैं खुद को security के प्रति काफी सजग मानता हूं, लेकिन पता नहीं इसे पकड़ पाता या नहीं। uBO को बिना पछतावे इस्तेमाल करने की एक और वजह

    • screenshot देखकर मेरे मन में बस यही आया कि “monitor पर लगी धूल साफ करनी चाहिए।” अगर uBO न होता तो मैं 100% धोखा खा जाता
    • uBlock Origin अच्छा है, लेकिन इसका internationalized domain spoofing attacks से क्या संबंध है, समझ नहीं आता। मेरे setup में यह इसे नहीं रोक पाया
    • uBO क्या है?
  • “कंपनी ने कहा कि scam ads report होने पर वह उन्हें जितनी जल्दी हो सके तुरंत हटा देती है”
    अगर वे solution का हिस्सा बनना चाहते, तो ad publish होने से पहले उसे verify करते। लेकिन वह scale नहीं करता, इसलिए लोग scam में फंसते हैं, समाज को नुकसान होता है, और Google बेहिसाब पैसा कमाता है। काफी fair trade है...?
    जैसा कई लोगों ने कहा है, internet ad blocking healthy और safe internet use का हिस्सा है

    • boundary थोड़ी सूक्ष्म है। अगर Google ads की pre-screening शुरू करे और कुछ हद तक legitimate ads भी block करने लगे, तो उस पर भी article आएगा
      moderation एक मुश्किल समस्या है। हमें सही चीजों के लिए convenience चाहिए, और जरा भी संदिग्ध चीजों पर strong blocking चाहिए। कुछ न कुछ छूटना ही है
      यहां असली बात यह है कि क्या यह isolated case है, या Google ads में ऐसी approvals के कई मामलों वाली prominent problem है; article इसका जवाब नहीं देता
    • “कंपनी ने कहा कि scam ads report होने पर वह उन्हें जितनी जल्दी हो सके तुरंत हटा देती है”
      1 साल पहले भी यही समस्या थी, और domain name prefix भी वही लगता है
      https://www.bleepingcomputer.com/news/security/google-ad-for...
    • पैसे न मिलें या अच्छा उद्देश्य न हो तो content moderation नहीं करते। Google ads इनमें से कोई भी नहीं हैं
  • अगर मुझे KYC (ग्राहक पहचान प्रक्रिया) की वजह से तरह-तरह की प्रक्रियाओं से गुजरना पड़ता है, तो अच्छा होगा कि ज़िंदगी मुश्किल बनाने वाले ऐसे मामलों में कंपनियों को भी वही करना पड़े
    भ्रामक विज्ञापन, स्पैम कॉल, Amazon जैसी जगहों पर नकली सामान, ईमेल तक—सब इसी में आते हैं
    ऐसा लगता है जैसे सब कुछ इस तरह बनाया गया है कि दुनिया का हर ठग मुझ तक 100% पहुंच सके, लेकिन जिन कंपनियों की वजह से यह सब संभव होता है, उन तक किसी भी तरह पहुंचना मुमकिन नहीं

    • ठगी की अर्थव्यवस्था की बुनियाद में मौजूद सूचना असमानता सचमुच गुस्सा दिलाती है
  • यह काफी चालाक तरीका है। अगर मैंने यह लिंक विज्ञापन से अलग किसी संदर्भ में देखा होता, तो शायद मैं भी फंस जाता
    आम Unicode substitution में अक्षर थोड़े-से भी अजीब दिखते हैं, इसलिए उन्हें पहचानना सीख लिया था, लेकिन यह मामला अलग था। तीर इशारा कर रहा था फिर भी k के नीचे का डॉट मुझे नहीं दिखा, और मेरी आंखों को वह मॉनिटर की छोटी-सी धूल या मैल जैसा लगा
    स्क्रीन पर ऐसी चीजें बहुत होती हैं, और हमारा visual system ऐसे noise को अच्छी तरह ignore कर देता है

    • मुझे भी लगता है कि मैं ठीक उसी तरह फंस जाता। लेकिन मैं dark mode इस्तेमाल करता हूं, इसलिए यह काले background पर सफेद dot के रूप में दिखता है और स्क्रीन की धूल जैसा नहीं लगता। साफ दिखाई देता है
      यह रोशनी रोकने वाली काली pixel जैसी धूल नहीं, बल्कि चमकती हुई सफेद pixel है। मैंने dark mode को security बढ़ाने के साधन के रूप में कभी नहीं सोचा था :)
    • ऐसे कई अक्षर हैं जिन्हें अलग पहचानना बहुत मुश्किल है। Browser को ऐसी चीजें पकड़नी चाहिए, लेकिन वह हमेशा ऐसा नहीं कर पाता
  • Punycode का उद्देश्य शुरू से ही संदिग्ध लगता है। यह बात मुख्यतः Latin alphabet users के नजरिए से है, लेकिन पिछले 10 सालों में मैंने जितनी भी non-Latin script वाली साइटें देखीं, वे सब सामान्य ASCII domains इस्तेमाल करती थीं
    Unicode की अनुमति देने वाली websites के usernames में भी दिखता है कि non-Latin script users भी ज्यादातर Latin alphabet usernames ही इस्तेमाल करते हैं
    वास्तव में Punycode जहां इस्तेमाल होता है, वे लगभग सभी spam domains ही हैं। Cyrillic script या Asian domains भी ज्यादातर Punycode इस्तेमाल नहीं करते
    Punycode का concept समझ में आता है और तकनीकी रूप से प्रभावशाली है, लेकिन domains में यह एक बड़ा phishing headache बन गया है

    • मैं हर देश की भाषाओं का पूरी तरह समर्थन करता हूं, और ASCII मानवता के बड़े हिस्से के लिए उपयुक्त नहीं है। लेकिन यह साफ है कि मौजूदा Unicode security-sensitive applications के लिए उपयुक्त नहीं है
      कई European languages इस्तेमाल करने वाले मेरे लिए भी जरूरी Unicode characters 10 से कम हैं, और सच कहें तो हर एक अभी भी 8-bit ISO 8859-15 code है। जरूरत होने के बावजूद, ज्यादातर sites Punycode domain तक register नहीं करतीं और नाम का बिगड़ा हुआ ASCII version इस्तेमाल करती हैं
      व्यावहारिक कदम के तौर पर, browsers को तब पूछना चाहिए जब user पहली बार non-ASCII character वाला URL type करे कि क्या वह किसी खास भाषा के URLs को allow करना चाहता है। सिर्फ एक-दो भाषाएं allow करने से भी ज्यादातर users के लिए attack surface काफी कम हो जाएगा
    • ASCII domains की एक समस्या CJK languages की phonetic mapping है
      उदाहरण के लिए, अभी asahi.com 朝日 (Asahi Shimbun) ने ले रखा है, इसलिए Asahi town (旭) इसे इस्तेमाल नहीं कर सकता। बेशक asahi-town.co.jp जैसा कुछ इस्तेमाल किया जा सकता है, लेकिन Asahi नाम वाले कई दूसरे place names भी हैं जिनकी लिखावट अलग है (旭日, 朝陽, 浅緋 आदि)
      इन सबको किसी मनमाने ASCII variant का इस्तेमाल करने को कहना ठीक नहीं है। सिर्फ Japanese place names की बात करें तो भी इतना जटिल है, और पूरे hanzi/kanji क्षेत्र में overlap की समस्या अलग है
      ऐसे domains वास्तव में register हुए हैं या नहीं, यह कुछ chicken-and-egg समस्या जैसा है, और ऊपर वाला collision space ASCII alphabet के भीतर साफ-सुथरे तरीके से हल होता नहीं दिखता
      Western ASCII domains का fraud के लिए vulnerable होना समस्या है, लेकिन एक समस्या हल करते-करते बहुत ज्यादा नुकसान कर देना भी ठीक नहीं
    • मैं non-English speaking देश में रहता हूं, और तकनीकी रूप से non-ASCII domains मौजूद हैं, लेकिन वे बहुत दुर्लभ हैं। Websites की भारी बहुमत Latin characters का इस्तेमाल करती है
      हालांकि .рф जैसे dedicated top-level domains में मैं Punycode को अपने-आप में समस्या नहीं मानता। उदाहरण के लिए кремль.рф जैसा रूप मुझे ठीक लगता है
    • बहुत से लोग अपना नाम या शहर का नाम आदि register करना चाह सकते हैं। ये सभी valid use cases लगते हैं
      आप कह सकते हैं कि ASCII से आगे की हर चीज संदिग्ध है, लेकिन जिन लोगों की मातृभाषा English नहीं है, वे हमेशा इसका विरोध करेंगे
    • शायद यह unpopular opinion हो, लेकिन पूरे Unicode को domain names में जबरन ठूंसने की कोशिश बुरा विचार था। Case-insensitive ASCII [A-Za-z0-9-] तक ही रहना चाहिए था
  • malicious ads कम करने का एक तरीका transparency है। हर ad में advertiser का legal contact, यानी company name और country शामिल होना चाहिए
    इससे समस्या पूरी तरह हल नहीं होगी, लेकिन consumers संदिग्ध Eastern European company के ads से बच सकेंगे। Security researchers के लिए malicious actors को track करना भी आसान होगा, और ad platform Google पर भी कुछ हद तक जिम्मेदारी आएगी
    Facebook political ads में पहले से ऐसा कर रहा है, इसलिए यह संभव है

    • ऐसा करने से Google और Facebook की revenue कम होगी
      जब तक सरकार मजबूर न करे या legal liability का risk बहुत ज्यादा न हो जाए, वे इसे स्वेच्छा से नहीं करेंगे
    • Eastern Europe को संदिग्ध क्यों कहा जा रहा है?
      यह थोड़ा xenophobic नहीं है?
    • सभी websites के SSL certificate database[0] को लेकर, उसे currently accessed website या ad placement खरीदने वाली website से compare किया जा सकता है
      [0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...
    • ऐसा हो जाए तो सचमुच अच्छा होगा