Даследчыкі з кампаніі Soluble новы спосаб рэгістрацыі даменаў з , вонкава падобнымі на іншыя дамены, але фактычна адрозныя з-за наяўнасці сімвалаў з іншым значэннем. Падобныя інтэрнацыяналізаваць дамены () могуць на першы погляд не адрознівацца ад даменаў вядомых кампаній і сэрвісаў, што дазваляе выкарыстоўваць іх для фішынгу, у тым ліку атрымліваючы для іх карэктныя TLS-сертыфікаты.
Класічная падмена праз вонкава падобны IDN-дамен даўно блакуецца ў браўзэрах і рэгістратарамі, дзякуючы забароне змешвання сімвалаў з розных алфавітаў. Напрыклад, падстаўны дамен аpple.com ("xn - pple-43d.com") не атрымаецца стварыць шляхам замены лацінскай "a" (U+0061) на кірылічную "а" (U+0430), бо змешванне ў дамене літар з розных алфавітаў не дапускаецца. У 2017 годзе быў спосаб абыходу падобнай абароны праз выкарыстанне ў дамене толькі unicode-знакаў, без выкарыстання лацінкі (напрыклад, пры дапамозе знакаў мовы з падобнымі на лацінку знакамі).
Зараз знойдзены яшчэ адзін метад абыходу абароны, заснаваны на тым, што рэгістратары блакуюць змешванне лацінкі і Unicode, але калі паказаныя ў дамене Unicode-знакі ставяцца да групы лацінскіх знакаў, такое змешванне дапушчаецца, бо знакі прыналежаць да аднаго алфавіту. Праблема ў тым, што ў пашырэнні прысутнічаюць омагліфы, падобныя па напісанні на іншыя сімвалы лацінскага алфавіту:
сімвал «»нагадвае «a», «» - «g», «»- «l».
Магчымасць рэгістрацыі даменаў, у якіх лацінка змешваецца з паказанымі Unicode знакамі, была выяўлена ў рэгістратара Verisign (іншыя рэгістратары не правяраліся), а паддамены атрымалася стварыць у сэрвісах Amazon, Google, Wasabi і DigitalOcean. Праблема была знойдзена ў лістападзе мінулага года і, нягледзячы на адпраўленыя апавяшчэнні, праз тры месяцы ў апошні момант была ўхіленая толькі ў Amazon і Verisign.
Падчас эксперыменту даследнікі выдаткаваўшы 400 даляраў зарэгістравалі ў Verisign наступныя дамены:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Даследнікі таксама запусцілі для праверкі сваіх даменаў на наяўнасць магчымых альтэрнатыўных варыянтаў з омогліфамі, у тым ліку з праверкай ужо зарэгістраваных даменаў і TLS-сертыфікатаў з падобнымі імёнамі. Што да HTTPS-сертыфікатаў, то праз логі Certificate Transparency было праверана 300 даменаў з омогліфамі, з якіх для 15 была зафіксаваная генерацыя сертыфікатаў.
Актуальныя браўзэры Chrome і Firefox адлюстроўваюць падобныя дамены ў адрасным радку ў натацыі з прэфіксам "xn--", тым не менш у спасылках дамены выглядаюць без пераўтварэння, што можна выкарыстоўваць для ўстаўкі на старонкі шкоднасных рэсурсаў або спасылак, пад выглядам іх загрузі з легітымных сайтаў . Напрыклад, на адным з выяўленых даменаў з омогліфамі было зафіксавана распаўсюджванне шкоднаснага варыянту бібліятэкі jQuery.
Крыніца: opennet.ru