ProHoster > Блог > internet vijesti > Mogućnost registracije phishing domena sa sličnim unicode znakovima u imenu

Mogućnost registracije phishing domena sa sličnim unicode znakovima u imenu

Istraživači iz Soluble otkriveno novi način registracije domena homoglifi, po izgledu sličan drugim domenima, ali zapravo drugačiji zbog prisustva znakova sa drugačijim značenjem. Slične internacionalizirane domene (IDN) se na prvi pogled ne mogu razlikovati od domena poznatih kompanija i usluga, što im omogućava da se koriste za phishing, uključujući i dobijanje ispravnih TLS sertifikata za njih.

Klasična zamjena preko naizgled sličnog IDN domena dugo je bila blokirana u pretraživačima i registratorima, zahvaljujući zabrani miješanja znakova iz različitih abeceda. Na primjer, lažni domen apple.com (“xn--pple-43d.com”) ne može se kreirati zamjenom latiničnog “a” (U+0061) ćiriličnim “a” (U+0430), jer miješanje slova u domeni iz različitih abeceda nije dozvoljeno. U 2017. bilo je pronađeno način da se zaobiđe takva zaštita korištenjem samo unicode znakova u domeni, bez upotrebe latinice (na primjer, korištenjem jezičkih simbola sa znakovima sličnim latinici).

Sada je pronađen još jedan način zaobilaženja zaštite, zasnovan na činjenici da registratori blokiraju miješanje latinice i Unicodea, ali ako Unicode znakovi navedeni u domeni pripadaju grupi latiničnih znakova, takvo miješanje je dozvoljeno, budući da znakovi pripadaju ista abeceda. Problem je što u ekstenziji Unicode latinica IPA postoje homoglifi slični u pisanju drugim znakovima latinice:
simbol "ɑ" liči na "a", "ɡ" - "g", "ɩ" - "l".

Mogućnost registracije phishing domena sa sličnim unicode znakovima u imenu

Mogućnost registracije domena u kojima je latinica pomiješana sa određenim Unicode znakovima identificiran je od strane registratora Verisign (drugi registratori nisu testirani), a kreirane su poddomene u servisima Amazona, Googlea, Wasabija i DigitalOceana. Problem je otkriven u novembru prošle godine i, uprkos poslanim obavještenjima, tri mjeseca kasnije otklonjen je u zadnji čas samo u Amazonu i Verisignu.

Tokom eksperimenta, istraživači su potrošili 400 dolara da registruju sljedeće domene kod Verisign-a:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Istraživači su također pokrenuli online usluga da provjerite svoje domene za moguće alternative s homoglifima, uključujući provjeru već registriranih domena i TLS certifikata sa sličnim imenima. Što se tiče HTTPS sertifikata, kroz evidenciju transparentnosti sertifikata provereno je 300 domena sa homoglifima, od kojih je generisanje sertifikata zabeleženo za 15.

Trenutni preglednici Chrome i Firefox prikazuju takve domene u adresnoj traci u notaciji s prefiksom „xn--“, međutim, u vezama se domene pojavljuju bez konverzije, što se može koristiti za umetanje zlonamjernih resursa ili linkova na stranice, pod maskom preuzimanja sa legitimnih sajtova. Na primjer, na jednom od identificiranih domena sa homoglifima zabilježena je distribucija zlonamjerne verzije jQuery biblioteke.

izvor: opennet.ru

Dodajte komentar