นักวิจัยจาก Soluble วิธีใหม่ในการลงทะเบียนโดเมนด้วย มีลักษณะคล้ายกับโดเมนอื่นๆ แต่จริงๆ แล้วแตกต่างกันเนื่องจากมีอักขระที่มีความหมายต่างกัน โดเมนสากลที่คล้ายกัน () เมื่อมองแวบแรกอาจไม่แตกต่างจากโดเมนของบริษัทและบริการที่มีชื่อเสียง ซึ่งช่วยให้สามารถใช้ฟิชชิ่งได้ รวมถึงการได้รับใบรับรอง TLS ที่ถูกต้องสำหรับพวกเขา
การแทนที่แบบคลาสสิกผ่านโดเมน IDN ที่ดูเหมือนจะคล้ายกันนั้นถูกบล็อกมานานแล้วในเบราว์เซอร์และผู้รับจดทะเบียน เนื่องจากการห้ามไม่ให้ผสมอักขระจากตัวอักษรที่แตกต่างกัน ตัวอย่างเช่น ไม่สามารถสร้างโดเมนจำลอง apple.com (“xn--pple-43d.com”) โดยการแทนที่ภาษาละติน “a” (U+0061) ด้วยอักษรซีริลลิก “a” (U+0430) เนื่องจาก ไม่อนุญาตให้ใช้ตัวอักษรในโดเมนผสมจากตัวอักษรที่แตกต่างกัน ในปี 2017 มี วิธีเลี่ยงการป้องกันดังกล่าวโดยใช้เฉพาะอักขระ Unicode ในโดเมน โดยไม่ต้องใช้ตัวอักษรละติน (เช่น การใช้สัญลักษณ์ภาษาที่มีอักขระคล้ายกับภาษาละติน)
ขณะนี้พบวิธีการเลี่ยงการป้องกันอีกวิธีหนึ่ง โดยขึ้นอยู่กับข้อเท็จจริงที่ว่าผู้รับจดทะเบียนบล็อกการผสมละตินและ Unicode แต่หากอักขระ Unicode ที่ระบุในโดเมนเป็นของกลุ่มอักขระละติน การผสมดังกล่าวจะได้รับอนุญาต เนื่องจากอักขระนั้นเป็นของ ตัวอักษรเดียวกัน ปัญหาก็คือว่าในส่วนขยาย มีโฮโมกลิฟที่คล้ายกันในการเขียนถึงอักขระอื่นของอักษรละติน:
เครื่องหมาย "" คล้ายกับ "a", "" - "ก", "" - "ล"
ความเป็นไปได้ของการจดทะเบียนโดเมนที่ตัวอักษรละตินผสมกับอักขระ Unicode ที่ระบุนั้นถูกระบุโดยผู้รับจดทะเบียน Verisign (ผู้รับจดทะเบียนรายอื่นไม่ได้ทดสอบ) และโดเมนย่อยถูกสร้างขึ้นในบริการของ Amazon, Google, Wasabi และ DigitalOcean ปัญหาดังกล่าวถูกค้นพบเมื่อเดือนพฤศจิกายนปีที่แล้ว และถึงแม้จะส่งการแจ้งเตือนไปแล้ว สามเดือนต่อมาก็ได้รับการแก้ไขในนาทีสุดท้ายเฉพาะใน Amazon และ Verisign เท่านั้น
ในระหว่างการทดลอง นักวิจัยใช้เงิน 400 ดอลลาร์เพื่อจดทะเบียนโดเมนต่อไปนี้กับ Verisign:
- amɑzon.com
- chase.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theuardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wlmɑrt.com
- wsɑbisys.com
- yɑhoo.คอม
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑ android.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
นอกจากนี้นักวิจัยยังได้เปิดตัว เพื่อตรวจสอบโดเมนของคุณเพื่อหาทางเลือกอื่นที่เป็นไปได้ด้วยโฮโมกลิฟ รวมถึงการตรวจสอบโดเมนที่จดทะเบียนแล้วและใบรับรอง TLS ที่มีชื่อคล้ายกัน สำหรับใบรับรอง HTTPS นั้น มีการตรวจสอบโดเมน 300 โดเมนที่มีโฮโมกลิฟท์ผ่านบันทึกความโปร่งใสของใบรับรอง ซึ่งมีการบันทึกการสร้างใบรับรองเป็นเวลา 15 รายการ
เบราว์เซอร์ Chrome และ Firefox ในปัจจุบันจะแสดงโดเมนดังกล่าวในแถบที่อยู่ในรูปแบบที่มีคำนำหน้า “xn--“ อย่างไรก็ตาม ในลิงก์ โดเมนจะปรากฏโดยไม่มีการแปลง ซึ่งสามารถใช้เพื่อแทรกทรัพยากรที่เป็นอันตรายหรือลิงก์ไปยังหน้าเว็บภายใต้หน้ากาก ของการดาวน์โหลดจากไซต์ที่ถูกกฎหมาย ตัวอย่างเช่น ในหนึ่งในโดเมนที่ระบุซึ่งมีโฮโมกลิฟ มีการบันทึกการกระจายของไลบรารี jQuery เวอร์ชันที่เป็นอันตราย
ที่มา: opennet.ru