ProHoster > Blog > internetske vijesti > Mogućnost registracije phishing domena sa sličnim unicode znakovima u imenu

Mogućnost registracije phishing domena sa sličnim unicode znakovima u imenu

Istraživači iz Solublea otkriveno novi način registracije domena homoglifi, izgledom sličan drugim domenama, ali zapravo drugačiji zbog prisutnosti znakova s ​​drugačijim značenjem. Slične internacionalizirane domene (IDN) na prvi pogled ne mogu se razlikovati od domena poznatih tvrtki i servisa, što im omogućuje korištenje za phishing, uključujući dobivanje ispravnih TLS certifikata za njih.

Klasična zamjena putem naizgled slične IDN domene odavno je blokirana u preglednicima i registrima, zahvaljujući zabrani miješanja znakova iz različitih abeceda. Na primjer, lažna domena apple.com ("xn--pple-43d.com") ne može se stvoriti zamjenom latiničnog "a" (U+0061) ćiriličnim "a" (U+0430), budući da miješanje slova u domeni iz različitih abeceda nije dopušteno. 2017. bilo je pronađeno način zaobilaženja takve zaštite korištenjem samo unicode znakova u domeni, bez upotrebe latinice (na primjer, korištenje jezičnih simbola sa znakovima sličnim latinici).

Sada je pronađena druga metoda zaobilaženja zaštite, koja se temelji na činjenici da registri blokiraju miješanje latinice i Unicodea, ali ako Unicode znakovi navedeni u domeni pripadaju skupini latiničnih znakova, takvo je miješanje dopušteno, budući da znakovi pripadaju ista abeceda. Problem je što u produžetku Unicode Latin IPA postoje homoglifi slični u pisanju drugim znakovima latinične abecede:
simbol "ɑ" sliči "a", "ɡ" - "g", "ɩ" - "l".

Mogućnost registracije phishing domena sa sličnim unicode znakovima u imenu

Mogućnost registracije domena u kojima se latinica miješa s navedenim Unicode znakovima identificirao je registar Verisign (drugi registri nisu testirani), a poddomene su kreirane u servisima Amazona, Googlea, Wasabija i DigitalOceana. Problem je otkriven u studenom prošle godine i, unatoč poslanim obavijestima, tri mjeseca kasnije u zadnji tren popravljen je samo u Amazonu i Verisignu.

Tijekom eksperimenta istraživači su potrošili 400 dolara za registraciju sljedećih domena s Verisignom:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theuuardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Istraživači su također pokrenuli online usluga za provjeru mogućih alternativa na vašim domenama s homoglifima, uključujući provjeru već registriranih domena i TLS certifikata sa sličnim nazivima. Što se tiče HTTPS certifikata, kroz Certificate Transparency logove provjereno je 300 domena s homoglifima, od čega je za 15 evidentirano generiranje certifikata.

Trenutačni preglednici Chrome i Firefox prikazuju takve domene u adresnoj traci u notaciji s prefiksom „xn--“, međutim, u vezama se domene pojavljuju bez konverzije, što se može koristiti za umetanje zlonamjernih izvora ili poveznica na stranice, pod krinkom preuzimanja s legitimnih stranica. Na primjer, na jednoj od identificiranih domena s homoglifima zabilježena je distribucija zlonamjerne verzije biblioteke jQuery.

Izvor: opennet.ru

Dodajte komentar