باحثون من سولوبل طريقة جديدة لتسجيل النطاقات ، يشبه في المظهر المجالات الأخرى، ولكنه مختلف في الواقع بسبب وجود أحرف ذات معنى مختلف. النطاقات الدولية المشابهة () قد لا تختلف للوهلة الأولى عن نطاقات الشركات والخدمات المعروفة، مما يتيح استخدامها للتصيد الاحتيالي، بما في ذلك الحصول على شهادات TLS الصحيحة لها.
لقد تم حظر الاستبدال الكلاسيكي من خلال نطاق IDN الذي يبدو مشابهًا منذ فترة طويلة في المتصفحات والمسجلين، وذلك بفضل الحظر المفروض على خلط الأحرف من أبجديات مختلفة. على سبيل المثال، لا يمكن إنشاء نطاق وهمي apple.com ("xn--pple-43d.com") عن طريق استبدال الحرف اللاتيني "a" (U+0061) بالحرف السيريلي "a" (U+0430)، نظرًا لأن لا يسمح بخلط الحروف في المجال من أبجديات مختلفة. في عام 2017 كان هناك طريقة لتجاوز هذه الحماية باستخدام أحرف Unicode فقط في المجال، دون استخدام الأبجدية اللاتينية (على سبيل المثال، استخدام رموز اللغة بأحرف مشابهة للأحرف اللاتينية).
الآن تم العثور على طريقة أخرى لتجاوز الحماية، تعتمد على أن المسجلين يمنعون الخلط بين اللاتينية واليونيكود، ولكن إذا كانت أحرف Unicode المحددة في المجال تنتمي إلى مجموعة من الأحرف اللاتينية، فإن هذا الخلط مسموح به، حيث أن الأحرف تنتمي إلى نفس الأبجدية. المشكلة هي أنه في التمديد هناك أشكال متجانسة مشابهة في الكتابة لأحرف أخرى من الأبجدية اللاتينية:
رمز ""يشبه"أ"،"" - "ز"، "" - "ل".
تم تحديد إمكانية تسجيل النطاقات التي يتم فيها خلط الأبجدية اللاتينية مع أحرف Unicode المحددة بواسطة المسجل Verisign (لم يتم اختبار المسجلين الآخرين)، وتم إنشاء النطاقات الفرعية في خدمات Amazon وGoogle وWasabi وDigitalOcean. تم اكتشاف المشكلة في نوفمبر من العام الماضي، وعلى الرغم من الإخطارات المرسلة، إلا أنه بعد ثلاثة أشهر تم إصلاحها في اللحظة الأخيرة فقط في أمازون وفيريساين.
أثناء التجربة، أنفق الباحثون 400 دولار لتسجيل النطاقات التالية لدى Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- stɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
كما أطلق الباحثون للتحقق من نطاقاتك بحثًا عن بدائل محتملة للأحرف المتجانسة، بما في ذلك التحقق من النطاقات المسجلة بالفعل وشهادات TLS بأسماء مشابهة. أما بالنسبة لشهادات HTTPS، فقد تم فحص 300 نطاق متجانس من خلال سجلات شفافية الشهادات، وتم تسجيل إنشاء 15 شهادة منها.
تعرض متصفحات Chrome وFirefox الحالية مثل هذه النطاقات في شريط العناوين بالتدوين بالبادئة "xn--"، ومع ذلك، تظهر النطاقات في الروابط بدون تحويل، والتي يمكن استخدامها لإدراج موارد أو روابط ضارة على الصفحات، تحت ستار لتحميلها من المواقع الشرعية . على سبيل المثال، في أحد المجالات المحددة ذات الحروف المتجانسة، تم تسجيل توزيع نسخة ضارة من مكتبة jQuery.
المصدر: opennet.ru