可溶性研究人員 註冊域名的新方法 ,它們看起來與其他域相似,但實際上由於存在具有不同含義的字符而有所不同。 類似的國際化域名()乍一看可能與知名公司和服務的域名沒有什麼不同,這使得它們可以用於網絡釣魚,包括為其獲取正確的 TLS 證書。
由於禁止混合來自不同字母的字符,通過外觀相似的 IDN 域進行的經典替換長期以來一直在瀏覽器和註冊商中被阻止。 例如,無法通過將拉丁語“a”(U+43) 替換為西里爾語“a”(U+0061) 來創建假域名 apple.com(“xn--pple-0430d.com”),因為混合域中不允許使用不同字母的字母。 2017 年是 一種繞過此類保護的方法,即僅使用域中的 unicode 字符,而不使用拉丁字母(例如,使用具有類似拉丁字符的語言字符)。
現在已經找到了另一種繞過保護的方法,基於註冊商阻止拉丁語和 Unicode 混合的事實,但如果域中指定的 Unicode 字符屬於拉丁字符組,則允許這種混合,因為這些字符屬於到相同的字母表。 問題是擴展 有一些同形文字的拼寫與拉丁字母表中的其他字符相似:
象徵 ”“ 類似於“a”,““- “G”, ””-“l”。
Verisign 註冊商確定了註冊拉丁字母與指定 Unicode 字符混合的域名的可能性(未檢查其他註冊商),並在 Amazon、Google、Wasabi 和 DigitalOcean 服務中創建了子域名。 該問題於去年 XNUMX 月發現,儘管已發出通知,但三個月後的最後一刻,該問題僅在亞馬遜和威瑞信得到修復。
在實驗過程中,研究人員花費了 400 美元向 Verisign 註冊了以下域名:
- amɑzon.com
- 中國網
- salesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- 靜態網站
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- 英偉達
- ogoge.com
研究人員還推出 檢查其域名是否有同形文字的可能替代方案,包括檢查已註冊的域名和具有相似名稱的 TLS 證書。 對於HTTPS證書,通過證書透明度日誌檢查了300個同形文字的域名,其中記錄了15個證書生成。
當前的Chrome 和Firefox 瀏覽器在地址欄中以“xn--”前綴的表示法顯示此類域名,但是在鏈接中,域名看起來沒有轉換,可用於在偽裝下將惡意資源或鏈接插入到頁面中從合法網站下載它們。 例如,在已識別的具有同形文字的域之一上,分發了 jQuery 庫的惡意變體。
來源: opennet.ru