محققان از محلول روشی جدید برای ثبت دامنه با ، از نظر ظاهری شبیه به دامنه های دیگر است، اما در واقع به دلیل وجود شخصیت هایی با معنای متفاوت متفاوت است. دامنه های بین المللی شده مشابه () ممکن است در نگاه اول با دامنه های شرکت ها و خدمات معروف تفاوتی نداشته باشد، که به آنها امکان می دهد برای فیشینگ از جمله دریافت گواهینامه های TLS صحیح برای آنها استفاده شود.
جایگزینی کلاسیک از طریق یک دامنه به ظاهر مشابه IDN به دلیل ممنوعیت ترکیب کاراکترهای الفبای مختلف، مدتهاست که در مرورگرها و ثبتکنندگان مسدود شده است. به عنوان مثال، یک دامنه ساختگی apple.com ("xn--pple-43d.com") را نمی توان با جایگزینی "a" لاتین (U+0061) با "a" سیریلیک (U+0430) ایجاد کرد، زیرا حروف در دامنه از حروف مختلف مخلوط شده مجاز نیست. در سال 2017 وجود داشت راهی برای دور زدن چنین محافظتی با استفاده از تنها کاراکترهای یونیکد در دامنه، بدون استفاده از الفبای لاتین (به عنوان مثال، استفاده از نمادهای زبان با کاراکترهای مشابه لاتین).
اکنون روش دیگری برای دور زدن حفاظت پیدا شده است، بر اساس این واقعیت که ثبت کننده ها ترکیب لاتین و یونیکد را مسدود می کنند، اما اگر کاراکترهای یونیکد مشخص شده در دامنه متعلق به گروهی از کاراکترهای لاتین باشد، چنین ترکیبی مجاز است، زیرا کاراکترها متعلق به همان الفبا مشکل این است که در پسوند هموگلیف هایی شبیه به سایر حروف الفبای لاتین هستند:
سمبل ""شبیه "الف" است، "" - "g"، ""-"ل".
امکان ثبت دامنه هایی که در آن الفبای لاتین با کاراکترهای مشخص شده یونیکد ترکیب شده است توسط ثبت کننده Verisign شناسایی شد (سایر ثبت کنندگان آزمایش نشدند) و زیر دامنه ها در خدمات آمازون، گوگل، واسابی و DigitalOcean ایجاد شدند. این مشکل در نوامبر سال گذشته کشف شد و با وجود اعلانهای ارسالی، سه ماه بعد تنها در آمازون و Verisign در آخرین لحظه برطرف شد.
در طول آزمایش، محققان 400 دلار برای ثبت دامنه های زیر با Verisign هزینه کردند:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- aticstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
محققان نیز راه اندازی کردند برای بررسی دامنه های خود برای جایگزین های احتمالی با هموگلیف ها، از جمله بررسی دامنه های ثبت شده قبلی و گواهی های TLS با نام های مشابه. در مورد گواهیهای HTTPS، 300 دامنه با هموگلیف از طریق گزارشهای شفافیت گواهی بررسی شدند که تولید گواهینامهها برای 15 مورد ثبت شد.
مرورگرهای کنونی کروم و فایرفاکس چنین دامنههایی را در نوار آدرس در نماد با پیشوند "xn--" نشان میدهند، اما در پیوندها دامنهها بدون تبدیل ظاهر میشوند که میتوان از آن برای درج منابع مخرب یا پیوندها در صفحات تحت پوشش استفاده کرد. دانلود آنها از سایت های قانونی به عنوان مثال، در یکی از دامنه های شناسایی شده با هموگلیف، توزیع یک نسخه مخرب از کتابخانه jQuery ثبت شد.
منبع: opennet.ru