Soluble 的研究人员 注册域名的新方法 ,外观上与其他域类似,但实际上由于存在具有不同含义的字符而有所不同。 类似的国际化域名()乍一看可能与知名公司和服务的域名没有什么不同,这使得它们可以用于网络钓鱼,包括为其获取正确的 TLS 证书。
由于禁止混合不同字母表的字符,通过看似相似的 IDN 域进行的经典替换长期以来一直在浏览器和注册商中被阻止。 例如,虚拟域名 apple.com (“xn--pple-43d.com”) 无法通过将拉丁语“a”(U+0061) 替换为西里尔语“a”(U+0430) 来创建,因为域中的字母是不同字母混合使用的。 2017年有 一种绕过此类保护的方法,即仅使用域中的 unicode 字符,而不使用拉丁字母(例如,使用字符类似于拉丁语的语言符号)。
现在已经找到了另一种绕过保护的方法,基于注册商阻止混合拉丁语和 Unicode 的事实,但如果域中指定的 Unicode 字符属于一组拉丁字符,则允许这种混合,因为这些字符属于相同的字母表。 问题是在扩展中 有一些同形文字与拉丁字母表中的其他字符相似:
象征 ”“ 类似于“a”,““ - “G”, ”” - “l”。
注册商 Verisign 确定了注册拉丁字母与指定 Unicode 字符混合的域名的可能性(其他注册商未进行测试),并在 Amazon、Google、Wasabi 和 DigitalOcean 的服务中创建了子域名。 该问题于去年 XNUMX 月被发现,尽管已发出通知,但三个月后只有亚马逊和威瑞信在最后一刻才修复了该问题。
在实验过程中,研究人员花费了 400 美元向 Verisign 注册了以下域名:
- amɑzon.com
- 中国网
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- 英伟达
- ogoge.com
研究人员还推出 检查您的域名是否有同形文字的可能替代品,包括检查已注册的域名和具有相似名称的 TLS 证书。 对于HTTPS证书,通过证书透明度日志检查了300个同形文字的域名,其中记录了证书生成的有15个。
当前的 Chrome 和 Firefox 浏览器在地址栏中以带有前缀“xn--”的表示法显示此类域,但是,在链接中,这些域在没有转换的情况下出现,可用于在伪装下将恶意资源或链接插入到页面上从合法网站下载它们。 例如,在已识别的具有同形文字的域之一上,记录了 jQuery 库的恶意版本的分布。
来源: opennet.ru