Lembra daquele caso de 2017 em que o pesquisador chinês Xudong Zheng criou uma versão falsa do Apple.com? Ele fez isso trocando a letra “a” por uma outra do alfabeto cirílico que tem a mesma aparência, tornando impossível notar a diferença na barra do endereço do navegador.
Essa efeméride mostra o quão complexas estão ficando falsificações na internet. Enquanto outras versões lançam mão de erros ortográficos, domínios diferentes, entre outras técnicas mais fáceis de notar, o episódio usou uma maneira bastante incomum de tentar enganar as pessoas. Esses sites falsos costumam ter armadilhas para roubar dados e informações privadas.
Como mostrou o vídeo acima, do canal NoMagic, os caracteres de endereços de sites são chamados de ASCII (Código Padrão Americano para o Intercâmbio de Informação) e classificados conforme o protocolo Unicode. Cada letra, número e símbolo, assim, tem um código específico.
O problema é que não há um consenso sobre o que fazer para evitar falsificações. Barrar símbolos não latinos excluiria uma série de idiomas dos sites, enquanto apenas mostrar sites cujos caracteres sejam da mesma língua preferida do usuário o impediria de acessar páginas de outros países. Resumindo: é tudo muito complicado.
Após o ato do pesquisador, os navegadores passaram a mostrar um aviso de confirmação ao acessar o endereço falso (https://www.xn--80ak6aa92e.com — site no padrão ASCII, não há riscos em acessá-lo), direcionando para o verdadeiro. Na época, apenas o Safari identificava que não se tratava realmente do Apple.com. Uma opção é intensificar as verificações e programar o software para evitar o acesso dessas falsificações, mas isso também não é tão fácil.
Algo que poderia ser feito pelos detentores dos domínios é um mapeamento de todas as possibilidades de modificações de caracteres por outros similares. A partir disso, ou registrar-se-iam todas essas possibilidades, ou isso poderia ser usado de alguma maneira para impedir esse tipo de fraude.
Bom, de qualquer forma, a situação segue muito intrincada, e devemos sempre nos manter alerta com relação a se estamos no site real de alguma empresa ou serviço, bem como desconfiar de pedidos de informações como cartão de crédito e documentos sem necessidade.
O vídeo do canal NoMagic ilustra muito bem a complicação de impedir que essas falsificações aconteçam…
via 9to5Mac
