ProHoster > Blog > internetne novice > Možnost registracije phishing domen s podobnimi znaki unicode v imenu

Možnost registracije phishing domen s podobnimi znaki unicode v imenu

Raziskovalci iz Soluble razkrila nov način registracije domen s homoglifi, po videzu podobna drugim domenam, a dejansko drugačna zaradi prisotnosti znakov z drugačnim pomenom. Podobne internacionalizirane domene (IDN) se na prvi pogled ne razlikujejo od domen znanih podjetij in storitev, kar omogoča njihovo uporabo za lažno predstavljanje, vključno s pridobivanjem pravilnih TLS certifikatov zanje.

Klasična zamenjava prek na videz podobne IDN domene je že dolgo blokirana v brskalnikih in registratorjih, zahvaljujoč prepovedi mešanja znakov iz različnih abeced. Na primer, navidezne domene apple.com (»xn--pple-43d.com«) ni mogoče ustvariti z zamenjavo latiničnega »a« (U+0061) s cirilskim »a« (U+0430), saj mešanje črk v domeni iz različnih abeced ni dovoljeno. Leta 2017 je bilo najdeno način za izogibanje taki zaščiti z uporabo samo znakov unicode v domeni, brez uporabe latinice (na primer z uporabo jezikovnih simbolov z znaki, podobnimi latinici).

Sedaj je bil najden še en način za izogibanje zaščiti, ki temelji na dejstvu, da registratorji blokirajo mešanje latinice in Unicode, če pa znaki Unicode, navedeni v domeni, pripadajo skupini latiničnih znakov, je takšno mešanje dovoljeno, saj znaki pripadajo ista abeceda. Težava je v tem, da v razširitvi Unicode Latin IPA obstajajo homoglifi, podobni pisavi drugim znakom latinske abecede:
simbol "ɑ" spominja na "a", "ɡ" - "g", "ɩ" - "l".

Možnost registracije phishing domen s podobnimi znaki unicode v imenu

Možnost registracije domen, v katerih se latinica meša z določenimi znaki Unicode, je prepoznal registrar Verisign (drugih registrarjev niso testirali), poddomene pa so bile ustvarjene v storitvah Amazon, Google, Wasabi in DigitalOcean. Težavo so odkrili novembra lani in jo kljub poslanim obvestilom tri mesece kasneje v zadnjem hipu odpravili le v Amazonu in Verisignu.

Med poskusom so raziskovalci porabili 400 $ za registracijo naslednjih domen pri Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washinginɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • roidndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Raziskovalci so tudi začeli spletna storitev za preverjanje vaših domen glede možnih alternativ s homoglifi, vključno s preverjanjem že registriranih domen in TLS certifikatov s podobnimi imeni. Kar zadeva certifikate HTTPS, je bilo v dnevnikih Certificate Transparency preverjenih 300 domen s homoglifi, od tega je bilo za 15 zabeleženo generiranje certifikatov.

Trenutni brskalniki Chrome in Firefox takšne domene prikažejo v naslovni vrstici v zapisu s predpono »xn--«, vendar se v povezavah domene prikažejo brez pretvorbe, kar se lahko uporabi za vstavljanje zlonamernih virov ali povezav na strani pod krinko prenosa z zakonitih spletnih mest. Na eni od identificiranih domen s homoglifi je bila na primer zabeležena distribucija zlonamerne različice knjižnice jQuery.

Vir: opennet.ru

Dodaj komentar