Greška dozvoljena za registraciju phishing domena s Unicode znakovima

phishing web stranica

Prije nekoliko dana Topivi istraživači objavili su svoje novo otkriće de novi način registracije domena sa homoglifima koji izgledaju poput drugih domena, ali se zapravo razlikuju zbog prisustva znakova s ​​drugim značenjem.

Navedene internacionalizirane domene (IDN) na prvi pogled se ne mogu razlikovati iz poznatih kompanija i domena usluga, omogućavajući vam da ih koristite za lažno predstavljanje, uključujući primanje ispravnih TLS certifikata za njih.

Uspješna registracija ovih domena izgleda kao ispravne domene i dobro poznati, a koriste se za izvršavanje napada socijalnog inženjeringa na organizacije.

Matt Hamilton, istraživač iz tvrtke Soluble, utvrdio je da je moguće registrirati više domena generički najviši nivo (gTLD) koji koristi Unicode Latin IPA produžni znak (kao što su ɑ i,), a također je mogao registrirati sljedeće domene.

Klasična zamjena kroz očigledno sličnu IDN domenu već je dugo blokirana u preglednicima i registrima, zbog zabrane miješanja znakova iz različitih abeceda. Na primjer, lažna domena apple.com ("xn--pple-43d.com") ne može se stvoriti zamjenom latinice "a" (U + 0061) ćirilicom "a" (U + 0430), jer se miješanje savladavanje slova iz različitih abeceda nije dozvoljeno.

2017. otkriven je način zaobilaženja takve zaštite korištenjem samo unicode znakova u domeni, bez upotrebe latiničnog pisma (na primjer, korištenjem jezičnih znakova sa znakovima sličnim latinici).

Sada pronađena je još jedna metoda zaobilaženja zaštite, na osnovu činjenice da matičari blokiraju kombinacija latinskog i Unicode-a, ali ako Unicode znakovi navedeni u domeni pripadaju grupi latiničnih znakova, takvo miješanje je dozvoljeno, jer znakovi pripadaju istoj abecedi.

Problem je u tome što je proširenje Unicode Latin IPA sadrži homoglife slične pravopisu drugim latiničnim znakovima: simbol "ɑ" nalikuje "a", "ɡ" - "g", "ɩ" - "l".

Sposobnost registracije domena u kojima se latinica miješa sa naznačenim Unicode znakovima identificirana je s registrom Verisign (nije verificiran nijedan drugi registar), a poddomene su stvorene u uslugama Amazon, Google, Wasabi i DigitalOcean.

Iako je istraga provedena samo na gTLD-ovima kojima upravlja Verisign, problem Divovi mreže to nisu uzeli u obzir I bez obzira na poslane obavijesti, tri mjeseca kasnije, u zadnji trenutak, to je popravljeno samo na Amazonu i Verisign-u jer su samo oni posebno vrlo ozbiljno shvatili problem.

Hamilton je svoj izvještaj držao privatnim sve dok Verisign, kompanija koja upravlja registracijama domena za istaknuta proširenja domene najvišeg nivoa (gTLD) poput .com i .net, nije riješila problem.

Istraživači su takođe pokrenuli internetsku uslugu za provjeru svojih domena. tražeći moguće alternative sa homoglifima, uključujući provjeru već registriranih domena i TLS certifikate sa sličnim imenima.

Što se tiče HTTPS certifikata, 300 domena s homoglifima provjereno je putem evidencije transparentnosti certifikata, od kojih je 15 registrirano u generiranju certifikata.

Pravi preglednici Chrome i Firefox prikazuju slične domene u adresnoj traci u notaciji s prefiksom "xn--", međutim, domene se vide bez konverzije u vezama, koje se mogu koristiti za umetanje zlonamernih resursa ili veza na stranice, pod izgovor za njihovo preuzimanje s legitimnih web lokacija.

Na primjer, u jednoj od domena identificiranih sa homoglifima, zabilježeno je širenje zlonamjerne verzije jQuery biblioteke.

Tokom eksperimenta, istraživači su potrošili 400 dolara i registrirali sljedeće domene sa Verisign-om:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si želite znati više detalja o tome o ovom otkriću možete se posavjetovati sljedeći link.


Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.