Prije nekoliko dana Topivi istraživači objavili su svoje novo otkriće de novi način registracije domena s homoglifima koje izgledaju poput drugih domena, ali se zapravo razlikuju zbog prisutnosti znakova s drugim značenjem.
Navedene internacionalizirane domene (IDN) mogu se na prvi pogled ne razlikovati iz poznatih tvrtki i domena usluga, omogućujući vam da ih koristite za lažno predstavljanje, uključujući primanje ispravnih TLS certifikata za njih.
Uspješna registracija ovih domena izgleda kao ispravne domene i dobro poznati, a koriste se za provođenje napada socijalnog inženjeringa na organizacije.
Matt Hamilton, istraživač iz tvrtke Soluble, utvrdio je da je moguće registrirati više domena generičke najviše razine (gTLD) koristeći Unicode Latin IPA produžni znak (poput ɑ i ɩ), a također je mogao registrirati sljedeće domene.
Klasična zamjena putem očito slične IDN domene već je dugo blokirana u preglednicima i registrima zbog zabrane miješanja znakova iz različitih abeceda. Na primjer, lažna domena apple.com ("xn--pple-43d.com") ne može se stvoriti zamjenom latinice "a" (U + 0061) s ćirilicom "a" (U + 0430), od miješanja svladavanje slova iz različitih abeceda nije dopušteno.
2017. otkriven je način zaobilaženja takve zaštite korištenjem samo unicode znakova u domeni, bez upotrebe latinične abecede (na primjer, korištenja jezičnih znakova s latiničnim znakovima).
Sada pronađena je još jedna metoda zaobilaženja zaštite, na temelju činjenice da matičari blokiraju kombinacija latinskog i Unicodea, ali ako Unicode znakovi navedeni u domeni pripadaju skupini latiničnih znakova, takvo je miješanje dopušteno, jer znakovi pripadaju istoj abecedi.
Problem je u tome što je proširenje Unicode Latin IPA sadrži homoglife slične pravopisu ostalim latiničnim znakovima: simbol "ɑ" nalikuje "a", "ɡ" - "g", "ɩ" - "l".
Sposobnost registracije domena u kojima se latinica miješa s naznačenim Unicode znakovima identificirana je s registrom Verisign (nisu provjereni drugi registri), a poddomene su stvorene u uslugama Amazon, Google, Wasabi i DigitalOcean.
Iako je istraga provedena samo na gTLD-ovima kojima upravlja Verisign, problem Divovi mreže to nisu uzeli u obzir i unatoč poslanim obavijestima, tri mjeseca kasnije, u zadnji trenutak, to je popravljeno samo na Amazonu i Verisignu, jer su samo oni posebno vrlo ozbiljno shvatili problem.
Hamilton je svoj izvještaj držao privatnim sve dok Verisign, tvrtka koja upravlja registracijama domena za istaknuta proširenja domene najviše razine (gTLD) poput .com i .net, nije riješila problem.
Istraživači su također pokrenuli internetsku uslugu za provjeru svojih domena. tražeći moguće alternative s homoglifima, uključujući provjeru već registriranih domena i TLS certifikate sa sličnim imenima.
Što se tiče HTTPS certifikata, 300 domena s homoglifima provjereno je putem evidencije transparentnosti certifikata, od kojih je 15 registrirano u generiranju certifikata.
Pravi preglednici Chrome i Firefox prikazuju slične domene u adresnoj traci u zapisu s prefiksom "xn--", ali se domene vide bez pretvorbe u vezama koje se mogu koristiti za umetanje zlonamjernih resursa ili veza na stranice ispod izgovor za njihovo preuzimanje s legitimnih web mjesta.
Na primjer, u jednoj od domena identificiranih s homoglifima, zabilježeno je širenje zlonamjerne verzije biblioteke jQuery.
Tijekom eksperimenta, istraživači su potrošili 400 dolara i registrirali sljedeće domene s Verisignom:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theuuardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si želite znati više detalja o tome o ovom otkriću možete se posavjetovati sljedeći link.