Грешка, разрешена да регистрира фишинг домейни с Unicode символи

уеб сайт за фишинг

Преди няколко дни Разтворимите изследователи пуснаха новото си откритие de нов начин за регистриране на домейни с хомоглифи които приличат на други домейни, но всъщност се различават поради наличието на символи с различно значение.

Споменатите интернационализирани домейни (IDN) на пръв поглед може да не се различава от известни домейни на фирми и услуги, което ви позволява да ги използвате за подправяне, включително получаване на правилните TLS сертификати за тях.

Успешната регистрация на тези домейни изглежда като правилните домейни и добре известни и се използват за извършване на атаки за социално инженерство срещу организации.

Мат Хамилтън, изследовател в Soluble, установи, че е възможно да се регистрират множество домейни родово най-високо ниво (gTLD) с помощта на Unicode Latin IPA разширителен символ (като ɑ и ɩ) и също така успя да регистрира следните домейни.

Класическото заместване чрез очевидно подобен IDN домейн отдавна е блокирано в браузърите и регистраторите, поради забраната за смесване на символи от различни азбуки. Например фалшивият домейн apple.com ("xn--pple-43d.com") не може да бъде създаден чрез замяна на латиница "a" (U + 0061) с кирилица "a" (U + 0430), тъй като Не е разрешено смесване на владеене на букви от различни азбуки.

През 2017 г. беше открит начин за заобикаляне на такава защита чрез използване само на символи на unicode в домейна, без да се използва латинската азбука (например, като се използват езикови символи с подобни на латиница символи).

Сега е открит друг метод за заобикаляне на защитата, въз основа на факта, че регистраторите блокират комбинация от латиница и Unicode, но ако Unicode символите, посочени в домейна, принадлежат към група латински символи, такова смесване е разрешено, тъй като символите принадлежат към една и съща азбука.

Проблемът е, че разширението Unicode Latin IPA съдържа хомоглифи, близки по правопис до други латински символи: символът "ɑ" прилича на "a", "ɡ" - "g", "ɩ" - "l".

Възможността за регистриране на домейни, в които латиница се смесва с посочените символи на Unicode, беше идентифицирана с регистратора на Verisign (не бяха проверени други регистратори) и бяха създадени поддомейни в услугите на Amazon, Google, Wasabi и DigitalOcean.

Въпреки че разследването е проведено само в gTLD, управлявани от Verisign, проблемът не беше взето предвид от гигантите на мрежата И въпреки изпратените известия, три месеца по-късно, в последния момент, това беше поправено само в Amazon и Verisign, тъй като само те по-специално приеха проблема много сериозно.

Хамилтън запази доклада си частен докато Verisign, компанията, която управлява регистрациите на домейни за видни разширения на домейни от най-високо ниво (gTLD) като .com и .net, не реши проблема.

Изследователите също така стартираха онлайн услуга за проверка на техните домейни. търси възможни алтернативи с хомоглифи, включително проверка на вече регистрирани домейни и TLS сертификати с подобни имена.

Що се отнася до HTTPS сертификатите, чрез записите за прозрачност на сертификатите бяха проверени 300 домейни с хомоглифи, от които 15 бяха регистрирани при генерирането на сертификати.

Реалните браузъри Chrome и Firefox показват подобни домейни в адресната лента в нотацията с префикса "xn--", но домейните се виждат без преобразуване във връзките, които могат да се използват за вмъкване на злонамерени ресурси или връзки в страници, под предлог, че ги изтеглят от легитимни сайтове.

Например в един от домейните, идентифицирани с хомоглифи, е записано разпространението на злонамерена версия на библиотеката jQuery.

По време на експеримента, изследователите са похарчили $ 400 и са регистрирали следните домейни с Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ticstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • Washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si искате да знаете повече подробности за него относно това откритие, можете да се консултирате следната връзка.


Съдържанието на статията се придържа към нашите принципи на редакторска етика. За да съобщите за грешка, щракнете върху тук.

Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван.

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.