কিছু দিন আগে দ্রবণীয় গবেষকরা তাদের নতুন আবিষ্কার প্রকাশ করেছেন de হোমোগ্লাইফ সহ ডোমেনগুলি নিবন্ধ করার একটি নতুন উপায় যা অন্য ডোমেনগুলির মতো দেখায় তবে ভিন্ন অর্থ সহ অক্ষরের উপস্থিতির কারণে ভিন্ন।
আন্তর্জাতিকীকরণ করা ডোমেন বলেছেন (আইডিএন) প্রথম নজরে ভিন্ন হতে পারে পরিচিত সংস্থা এবং পরিষেবা ডোমেনগুলি থেকে, তাদের জন্য সঠিক টিএলএস শংসাপত্র গ্রহণ সহ আপনাকে স্পোফিংয়ের জন্য এগুলি ব্যবহার করার অনুমতি দেয়।
এই ডোমেনগুলির সফল নিবন্ধকরণ সঠিক ডোমেনগুলির মতো দেখায় এবং সুপরিচিত, এবং সংগঠনগুলিতে সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ চালাতে ব্যবহৃত হয়।
সলিউবলের গবেষক ম্যাট হ্যামিল্টন সনাক্ত করেছিলেন যে একাধিক ডোমেন নিবন্ধন করা সম্ভব জেনেরিক শীর্ষ-স্তরের (জিটিএলডি) ইউনিকোড লাতিন আইপিএ এক্সটেনশন চরিত্র (যেমন ɑ এবং ɩ) ব্যবহার করে এবং নিম্নলিখিত ডোমেনগুলি নিবন্ধিত করতে সক্ষম হয়েছিলেন।
আপাতদৃষ্টিতে অনুরূপ আইডিএন ডোমেনের মাধ্যমে ক্লাসিক প্রতিস্থাপনটি বিভিন্ন বর্ণমালা থেকে অক্ষরগুলি মেশানো নিষেধের কারণে ব্রাউজার এবং রেজিস্ট্রারগুলিতে দীর্ঘকাল অবরুদ্ধ ছিল। উদাহরণস্বরূপ, মিশ্রিত হওয়ার পর থেকে নকল ডোমেন আপেল ডটকম ("xn--pple-43d.com") ল্যাটিন "এ" (ইউ + 0061) এর পরিবর্তে সিরিলিক "এ" (ইউ + 0430) এর পরিবর্তে তৈরি করা যাবে না বিভিন্ন বর্ণমালা থেকে বর্ণের আয়ত্তের অনুমতি নেই।
2017 সালে, এই জাতীয় সুরক্ষা রোধ করার একটি উপায় আবিষ্কার করা হয়েছিল লাতিন বর্ণমালা ব্যবহার না করে ডোমেনে কেবল ইউনিকোড অক্ষর ব্যবহার করে (উদাহরণস্বরূপ, লাতিনের অনুরূপ অক্ষরের সাথে ভাষার অক্ষর ব্যবহার করা)।
এখন সুরক্ষা রোধের অন্য একটি পদ্ধতি পাওয়া গেছে, নিবন্ধভুক্তকারীরা অবরুদ্ধ করা হয়েছে তার উপর ভিত্তি করে লাতিন এবং ইউনিকোডের মিশ্রণ, তবে যদি ডোমেনে বর্ণিত ইউনিকোড অক্ষরগুলি লাতিন অক্ষরের একটি গ্রুপের অন্তর্ভুক্ত থাকে তবে এই জাতীয় মিশ্রণের অনুমতি দেওয়া হয়, কারণ অক্ষরগুলি একই বর্ণমালার অন্তর্ভুক্ত।
সমস্যাটি হ'ল ইউনিকোড ল্যাটিন আইপিএ এক্সটেনশন অন্যান্য লাতিন অক্ষরের বানানের অনুরূপ হোমোগ্লিফ রয়েছে: "" "চিহ্নটি" এ "," ɡ "-" জি "," ɩ "-" এল "এর সাথে সাদৃশ্যযুক্ত।
নির্দেশিত ইউনিকোড অক্ষরগুলির সাথে লাতিন মিশ্রিত ডোমেনগুলি নিবন্ধকরণের সম্ভাবনাটি ভেরিজাইন নিবন্ধকের সাথে সনাক্ত করা হয়েছিল (অন্য কোনও রেজিস্ট্রার যাচাই করা হয়নি) এবং অ্যামাজন, গুগল, ওয়াসাবি এবং ডিজিটাল ওশান পরিষেবাগুলিতে সাব-ডোমেন তৈরি করা হয়েছিল।
যদিও তদন্তটি কেবল ভেরিজাইন-পরিচালিত জিটিএলডি তে পরিচালিত হয়েছিল, সমস্যাটি এটি নেটওয়ার্কের জায়ান্টরা বিবেচনা করে নি এবং প্রেরিত বিজ্ঞপ্তিগুলি সত্ত্বেও, তিন মাস পরে, শেষ মুহুর্তে, এটি কেবলমাত্র অ্যামাজন এবং ভেরিজাইন এ স্থির করা হয়েছিল কারণ তারা বিশেষত সমস্যাটিকে খুব গুরুত্ব সহকারে নিয়েছিল।
হ্যামিল্টন তার রিপোর্টটি ব্যক্তিগত রেখেছিলেন ভেরিজাইন না হওয়া অবধি, .কম এবং .NET এর মতো শীর্ষস্থানীয় শীর্ষ স্তরের ডোমেন এক্সটেনশনের (gTLDs) ডোমেন নিবন্ধন পরিচালনা করে এমন সংস্থা সমস্যা সমাধান করেছে।
গবেষকরা তাদের ডোমেনগুলি যাচাই করতে একটি অনলাইন পরিষেবাও চালু করেছিলেন। ইতিমধ্যে নিবন্ধিত ডোমেনগুলির যাচাইকরণ এবং অনুরূপ নামের সাথে টিএলএস শংসাপত্র সহ হোমোগ্লিফ সহ সম্ভাব্য বিকল্পগুলির সন্ধান করা।
এইচটিটিপিএস শংসাপত্রের বিষয়ে, শংসাপত্রের স্বচ্ছতা রেকর্ডের মাধ্যমে, হোমোগ্লিফ সহ 300 টি ডোমেন যাচাই করা হয়েছিল, যার মধ্যে 15 টি শংসাপত্র তৈরির ক্ষেত্রে নিবন্ধিত ছিল।
প্রকৃত ক্রোম এবং ফায়ারফক্স ব্রাউজারগুলি 'xn--' উপসর্গ সহ সূচীকরণের ঠিকানা বারে অনুরূপ ডোমেনগুলি দেখায়, তবে ডোমেনগুলি লিঙ্কগুলিতে রূপান্তর ছাড়াই দেখা যায়, যা পৃষ্ঠাগুলিতে দূষিত সংস্থান বা লিঙ্কগুলি সন্নিবেশ করতে ব্যবহার করা যেতে পারে বৈধ সাইট থেকে এগুলি ডাউনলোড করার অজুহাত।
উদাহরণস্বরূপ, হোমোগ্লিফগুলির সাথে চিহ্নিত ডোমেনগুলির একটিতে, jQuery লাইব্রেরির দূষিত সংস্করণের বিস্তার রেকর্ড করা হয়েছিল।
পরীক্ষার সময়, গবেষকরা $ 400 ব্যয় করেছেন এবং নিম্নলিখিত ডোমেনগুলি নিবন্ধভুক্ত করেছেন ভেরিসাইন সহ:
- amɑzon.com
- chɑse.com
- sɑlesfor.com
- ɑmɑil.com
- .ppɩe.com
- ebɑy.com
- স্ট্যাটিক.কম
- steɑmppowered.com
- theɡguardian.com
- theverɡe.com
- washin .tonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com ɩ
- mɑzonɑws.com
- android.com
- নেটফিক্স.কম
- nvidiɑ.com
- ɩoogɩe.com
Si আপনি এটি সম্পর্কে আরও বিশদ জানতে চান এই আবিষ্কার সম্পর্কে, আপনি পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।