Forscher von Soluble eine neue Möglichkeit, Domains zu registrieren , ähnelt im Aussehen anderen Domänen, unterscheidet sich jedoch aufgrund der Anwesenheit von Zeichen mit unterschiedlicher Bedeutung. Ähnliche internationalisierte Domains () unterscheiden sich auf den ersten Blick möglicherweise nicht von den Domains bekannter Unternehmen und Dienste, wodurch sie für Phishing genutzt werden können, einschließlich der Beschaffung korrekter TLS-Zertifikate für sie.
Die klassische Substitution durch eine scheinbar ähnliche IDN-Domain ist seit langem in Browsern und Registraren blockiert, da das Mischen von Zeichen aus verschiedenen Alphabeten verboten ist. Beispielsweise kann eine Dummy-Domain apple.com („xn--pple-43d.com“) nicht durch Ersetzen des lateinischen „a“ (U+0061) durch das kyrillische „a“ (U+0430) erstellt werden, da die Das Mischen von Buchstaben in der Domäne aus verschiedenen Alphabeten ist nicht zulässig. Im Jahr 2017 gab es eine Möglichkeit, diesen Schutz zu umgehen, indem in der Domäne nur Unicode-Zeichen verwendet werden, ohne das lateinische Alphabet zu verwenden (z. B. durch Verwendung von Sprachsymbolen mit lateinischen Zeichen).
Jetzt wurde eine andere Methode zur Umgehung des Schutzes gefunden, die darauf basiert, dass Registrare das Mischen von Latein und Unicode blockieren. Wenn die in der Domäne angegebenen Unicode-Zeichen jedoch zu einer Gruppe lateinischer Zeichen gehören, ist ein solches Mischen zulässig, da die Zeichen dazu gehören das gleiche Alphabet. Das Problem liegt in der Erweiterung Es gibt Homoglyphen, die in der Schrift anderen Zeichen des lateinischen Alphabets ähneln:
Symbol "„ ähnelt „a“, „" - "G", "" - "l".
Die Möglichkeit der Registrierung von Domains, in denen das lateinische Alphabet mit bestimmten Unicode-Zeichen gemischt ist, wurde vom Registrar Verisign identifiziert (andere Registrare wurden nicht getestet) und Subdomains wurden in den Diensten von Amazon, Google, Wasabi und DigitalOcean erstellt. Das Problem wurde im November letzten Jahres entdeckt und trotz verschickter Benachrichtigungen drei Monate später in letzter Minute nur bei Amazon und Verisign behoben.
Während des Experiments gaben die Forscher 400 US-Dollar aus, um die folgenden Domains bei Verisign zu registrieren:
- amɑzon.com
- www.chɑse.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- stempowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- android.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
Die Forscher starteten auch um Ihre Domains auf mögliche Alternativen mit Homoglyphen zu überprüfen, einschließlich der Überprüfung bereits registrierter Domains und TLS-Zertifikate mit ähnlichen Namen. Was HTTPS-Zertifikate betrifft, wurden 300 Domains mit Homoglyphen durch die Certificate Transparency-Protokolle überprüft, von denen die Generierung von Zertifikaten für 15 aufgezeichnet wurde.
Aktuelle Chrome- und Firefox-Browser zeigen solche Domains in der Adressleiste in der Notation mit dem Präfix „xn--“ an, in Links erscheinen die Domains jedoch ohne Konvertierung, wodurch unter dem Deckmantel schädliche Ressourcen oder Links auf Seiten eingefügt werden können sie von seriösen Websites herunterzuladen. Beispielsweise wurde auf einer der identifizierten Domains mit Homoglyphen die Verbreitung einer bösartigen Version der jQuery-Bibliothek aufgezeichnet.
Source: opennet.ru