Una fallada permetia registrar dominis de phishing amb caràcters Unicode

phishing lloc web

Fa alguns dies els investigadors de Soluble van donar a conèixer el seu nou descobriment de una nova forma de registrar dominis amb homoglifos que s'assemblen a altres dominis, però en realitat difereixen causa de la presència de caràcters amb un significat diferent.

Aquests dominis internacionalitzats (IDN) poden a primera vista no diferir dels dominis de companyies i serveis coneguts, el que li permet usar-los per suplantació d'identitat, inclosa la recepció dels certificats TLS correctes per a ells.

El registre reeixit d'aquests dominis s'assembla als dominis correctes i ben coneguts, i són utilitzats per a realitzar atacs d'enginyeria social a les organitzacions.

Matt Hamilton, un investigador de Soluble, va identificar que és possible registrar diversos dominis genèrics de nivell superior (gTLD) utilitzant el caràcter d'extensió d'Unicode Latin IPA (com ɑ i ɩ), i també va poder registrar els següents dominis.

La substitució clàssica a través d'un domini IDN aparentment similar s'ha bloquejat durant molt temps en els navegadors i registradors, a causa de la prohibició de barrejar caràcters de diferents alfabets. Per exemple, el domini fals apple.com ( «xn--pple-43d.com») no es pot crear reemplaçant el llatí «a» (O + 0061) amb el ciríl·lic «a» (O + 0430), ja que barreja el domini de les lletres de diferents alfabets no està permès.

En 2017, es va descobrir una forma d'eludir aquesta protecció mitjançant l'ús de només caràcters unicode en el domini, sense usar l'alfabet llatí (per exemple, usant caràcters de el llenguatge amb caràcters similars a el llatí).

Ara s'ha trobat un altre mètode d'elusió de la protecció, Basat en el fet que els registradors bloquegen la barreja de llatí i Unicode, però si els caràcters Unicode especificats en el domini pertanyen a un grup de caràcters llatins, aquesta barreja està permesa, ja que els caràcters pertanyen a la mateixa alfabet.

El problema és que l'extensió Unicode Latin IPA conté homoglifos similars en ortografia a altres caràcters llatins: el símbol «ɑ» s'assembla a «a», «ɡ» - »g», «ɩ» - «l».

La possibilitat de registrar dominis en els quals el llatí es barreja amb els caràcters Unicode indicats es va identificar amb el registrador Verisign (no es van verificar altres registradors), i es van crear subdominis en els serveis Amazon, Google, Wasabi i DigitalOcean.

Tot i que la investigació només es va realitzar en gTLD administrats per Verisign el problema no va ser pres molt en compte pels gegants de la xarxa i malgrat les notificacions enviades, tres mesos després, en l'últim moment, es va solucionar sol a Amazon i Verisign ja que només ells en particular van prendre el problema molt seriosament.

Hamilton va mantenir el seu informe de manera privada fins que Verisign, la companyia que administra els registres de domini per a extensions de domini de nivell superior (gTLD) prominents com .com i .net, va solucionar el problema.

Els investigadors també van llançar un servei en línia per verificar els seus dominis a la recerca de possibles alternatives amb homoglifos, inclosa la verificació de dominis ja registrats i certificats TLS amb noms similars.

Quant als certificats HTTPS, a través dels registres de Transparència de certificats, es van verificar 300 dominis amb homoglifos, dels quals 15 es van registrar en la generació de certificats.

Els navegadors reals de Chrome i Firefox mostren dominis similars a la barra d'adreces a la notació amb el prefix «xn--«, però, els dominis es veuen sense conversió en els enllaços, que poden usar-se per inserir recursos maliciosos o enllaços a pàgines, amb el pretext de descarregar-de llocs legítims.

Per exemple, en un dels dominis identificats amb homoglifos, es va registrar la propagació d'una versió maliciosa de la biblioteca jQuery.

Durant l'experiment, els investigadors van gastar $ 400 i van registrar els següents dominis amb Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si vols conèixer més detalls a l'respecte sobre aquest descobriment, pots consultar el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.