Изследователи от Soluble нов начин за регистриране на домейни , подобен на външен вид на други домейни, но всъщност различен поради наличието на символи с различно значение. Подобни интернационализирани домейни () може на пръв поглед да не се различават от домейните на известни компании и услуги, което позволява да бъдат използвани за фишинг, включително получаване на правилни TLS сертификати за тях.
Класическото заместване чрез привидно подобен IDN домейн отдавна е блокирано в браузърите и регистраторите, благодарение на забраната за смесване на знаци от различни азбуки. Например, фиктивен домейн apple.com („xn--pple-43d.com“) не може да бъде създаден чрез замяна на латинския „a“ (U+0061) с кирилски „a“ (U+0430), тъй като не се допуска смесване на букви в домейна от различни азбуки. През 2017 г. имаше начин за заобикаляне на такава защита чрез използване само на уникод знаци в домейна, без използване на латинската азбука (например използване на езикови символи със знаци, подобни на латиница).
Сега е намерен друг метод за заобикаляне на защитата, базиран на факта, че регистраторите блокират смесването на латински и уникод, но ако Unicode знаците, посочени в домейна, принадлежат към група латински знаци, такова смесване е разрешено, тъй като знаците принадлежат на същата азбука. Проблемът е, че в разширението има хомоглифи, подобни на писане на други знаци на латинската азбука:
символ "" прилича на "а", "" - "g", "" - "л".
Възможността за регистриране на домейни, в които латинската азбука е смесена с определени Unicode символи, беше идентифицирана от регистратора Verisign (други регистратори не бяха тествани), а поддомейни бяха създадени в услугите на Amazon, Google, Wasabi и DigitalOcean. Проблемът беше открит през ноември миналата година и въпреки изпратените известия, три месеца по-късно беше отстранен в последния момент само в Amazon и Verisign.
По време на експеримента изследователите са похарчили $400, за да регистрират следните домейни с Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ticstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Изследователите също стартираха за проверка на вашите домейни за възможни алтернативи с хомоглифи, включително проверка на вече регистрирани домейни и TLS сертификати с подобни имена. Що се отнася до HTTPS сертификатите, 300 домейна с хомоглифи бяха проверени чрез регистрационните файлове за прозрачност на сертификати, от които генерирането на сертификати беше записано за 15.
Настоящите браузъри Chrome и Firefox показват такива домейни в адресната лента в нотацията с префикса „xn--“, но във връзките домейните се показват без преобразуване, което може да се използва за вмъкване на злонамерени ресурси или връзки в страници под прикритието да ги изтеглите от законни сайтове. Например в един от идентифицираните домейни с хомоглифи е записано разпространението на злонамерен вариант на библиотеката jQuery.
Източник: opennet.ru