Des chercheurs de Soluble une nouvelle façon d'enregistrer des domaines avec , d'apparence similaire à d'autres domaines, mais en réalité différent en raison de la présence de caractères ayant une signification différente. Domaines internationalisés similaires () ne diffèrent pas, à première vue, des domaines d'entreprises et de services connus, ce qui permet de les utiliser à des fins de phishing, notamment pour obtenir les certificats TLS corrects.
La substitution classique via un domaine IDN apparemment similaire a longtemps été bloquée dans les navigateurs et les bureaux d'enregistrement, en raison de l'interdiction de mélanger des caractères de différents alphabets. Par exemple, un domaine factice apple.com (« xn--pple-43d.com ») ne peut pas être créé en remplaçant le « a » latin (U+0061) par le « a » cyrillique (U+0430), car le les lettres du domaine sont mélangées à partir de différents alphabets n'est pas autorisé. En 2017, il y avait un moyen de contourner cette protection en utilisant uniquement des caractères Unicode dans le domaine, sans utiliser l'alphabet latin (par exemple, en utilisant des symboles de langue avec des caractères similaires au latin).
Maintenant, une autre méthode pour contourner la protection a été trouvée, basée sur le fait que les bureaux d'enregistrement bloquent le mélange de latin et d'Unicode, mais si les caractères Unicode spécifiés dans le domaine appartiennent à un groupe de caractères latins, un tel mélange est autorisé, puisque les caractères appartiennent à le même alphabet. Le problème est que dans l'extension il existe des homoglyphes similaires dans l'écriture à d'autres caractères de l'alphabet latin :
symbole "" ressemble à " un ", "" - "g", "" - "je".
La possibilité d'enregistrer des domaines dans lesquels l'alphabet latin est mélangé avec des caractères Unicode spécifiés a été identifiée par le registraire Verisign (les autres registraires n'ont pas été testés) et des sous-domaines ont été créés dans les services d'Amazon, Google, Wasabi et DigitalOcean. Le problème a été découvert en novembre de l'année dernière et, malgré les notifications envoyées, trois mois plus tard, il n'a été résolu à la dernière minute que chez Amazon et Verisign.
Au cours de l'expérience, les chercheurs ont dépensé 400 $ pour enregistrer les domaines suivants auprès de Verisign :
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- www.huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- ndroid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
Les chercheurs ont également lancé pour vérifier vos domaines pour des alternatives possibles avec des homoglyphes, y compris la vérification des domaines déjà enregistrés et des certificats TLS avec des noms similaires. Quant aux certificats HTTPS, 300 domaines comportant des homoglyphes ont été vérifiés via les journaux de transparence des certificats, dont 15 ont enregistré la génération de certificats.
Les navigateurs Chrome et Firefox actuels affichent ces domaines dans la barre d'adresse avec la notation avec le préfixe « xn-- », cependant, dans les liens, les domaines apparaissent sans conversion, ce qui peut être utilisé pour insérer des ressources ou des liens malveillants sur des pages, sous le couvert de les télécharger à partir de sites légitimes. Par exemple, sur l'un des domaines identifiés avec des homoglyphes, la distribution d'une version malveillante de la bibliothèque jQuery a été enregistrée.
Source: opennet.ru