Forskere fra Soluble en ny måde at registrere domæner med , ligner i udseende til andre domæner, men faktisk anderledes på grund af tilstedeværelsen af tegn med en anden betydning. Lignende internationaliserede domæner () kan ved første øjekast ikke adskille sig fra domænerne for velkendte virksomheder og tjenester, hvilket gør det muligt at bruge dem til phishing, herunder opnå korrekte TLS-certifikater for dem.
Klassisk substitution gennem et tilsyneladende lignende IDN-domæne har længe været blokeret i browsere og registratorer, takket være forbuddet mod at blande tegn fra forskellige alfabeter. For eksempel kan et dummy-domæne apple.com ("xn--pple-43d.com") ikke oprettes ved at erstatte det latinske "a" (U+0061) med det kyrilliske "a" (U+0430), da bogstaver i domænet er blandet fra forskellige alfabeter er ikke tilladt. I 2017 var der en måde at omgå en sådan beskyttelse ved kun at bruge unicode-tegn i domænet, uden at bruge det latinske alfabet (for eksempel ved at bruge sprogsymboler med tegn, der ligner latin).
Nu er der fundet en anden metode til at omgå beskyttelsen, baseret på det faktum, at registratorer blokerer for blanding af latin og Unicode, men hvis Unicode-tegnene angivet i domænet tilhører en gruppe latinske tegn, er en sådan blanding tilladt, da tegnene tilhører det samme alfabet. Problemet er, at i forlængelsen der er homoglyffer, der i skrift ligner andre tegn i det latinske alfabet:
symbol "" ligner "en", "" - "g", ""-"l".
Muligheden for at registrere domæner, hvor det latinske alfabet er blandet med specificerede Unicode-tegn, blev identificeret af registratoren Verisign (andre registratorer blev ikke testet), og underdomæner blev oprettet i tjenesterne fra Amazon, Google, Wasabi og DigitalOcean. Problemet blev opdaget i november sidste år, og trods meddelelser, der blev sendt, blev det tre måneder senere rettet i sidste øjeblik kun i Amazon og Verisign.
Under eksperimentet brugte forskerne $400 på at registrere følgende domæner hos Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Forskerne lancerede også at tjekke dine domæner for mulige alternativer med homoglyffer, herunder at tjekke allerede registrerede domæner og TLS-certifikater med lignende navne. Hvad angår HTTPS-certifikater, blev 300 domæner med homoglyffer kontrolleret gennem Certificate Transparency-logfilerne, hvoraf genereringen af certifikater blev registreret for 15.
Nuværende Chrome- og Firefox-browsere viser sådanne domæner i adresselinjen i notationen med præfikset "xn--", men i links vises domænerne uden konvertering, som kan bruges til at indsætte ondsindede ressourcer eller links på sider under dække at downloade dem fra lovlige websteder. For eksempel, på et af de identificerede domæner med homoglyffer, blev distributionen af en ondsindet version af jQuery-biblioteket registreret.
Kilde: opennet.ru