Юникод тэмдэгт бүхий фишинг домэйныг бүртгэх алдаа гарсан

фишинг вэбсайт

Хэд хоногийн өмнө Уусдаг судлаачид шинэ нээлтээ гаргажээ de домогуудыг гомоглифээр бүртгэх шинэ арга бусад домэйнуудтай төстэй боловч өөр утгатай тэмдэгтүүд байдгаас шалтгаалан ялгаатай байдаг.

Олон улсын домэйнууд гэж хэлсэн (IDN) өнгөц харахад ялгаатай биш байж болох юм мэдэгдэж буй компани, үйлчилгээний домэйноос эдгээрийг хуурамчаар ашиглах, үүнд тохирсон TLS гэрчилгээ авах зэрэг боломжийг танд олгоно.

Эдгээр домэйнуудыг амжилттай бүртгүүлэх нь зөв домэйнууд шиг харагдаж байна мөн сайн мэддэг бөгөөд байгууллагуудад нийгмийн инженерийн халдлага хийхэд ашигладаг.

Soluble-ийн судлаач Мэтт Хэмилтон олон домэйныг бүртгэх боломжтой болохыг тогтоожээ Unicode Latin IPA өргөтгөлийн тэмдэгт (ɑ ба ɩ гэх мэт) ашиглан ерөнхий дээд түвшний (gTLD), мөн дараахь домэйнуудыг бүртгүүлэх боломжтой байв.

Тодорхой төстэй IDN домэйноор сонгодог орлуулалт нь хөтөч, бүртгэгчид удаан хугацаагаар хориглогдсон тул янз бүрийн цагаан толгойн тэмдэгтүүдийг холихыг хориглодог. Жишээлбэл, хуурамч домэйн apple.com ("xn--pple-43d.com") -ийг Латин "a" (U + 0061) -ийг кирилл "а" (U + 0430) -аар солих замаар үүсгэх боломжгүй. өөр өөр цагаан толгойн үсгийг төгс эзэмшихийг зөвшөөрдөггүй.

2017 онд ийм хамгаалалтыг тойрч гарах арга замыг нээв домэйн дээр зөвхөн юникод тэмдэгтүүдийг ашиглан латин цагаан толгойг ашиглахгүйгээр (жишээлбэл, Латинтай төстэй тэмдэгтүүд бүхий хэлний тэмдэгтүүдийг ашиглах замаар).

Одоо хамгаалалтыг тойрч гарах өөр нэг арга олдсон, бүртгэгчид блоклохыг хориглодог Латин ба Юникодын холимог, гэхдээ домэйнд заасан Unicode тэмдэгтүүд нь латин тэмдэгтүүдийн бүлэгт хамаарах бол тэмдэгтүүд нь ижил цагаан толгойд хамаарах тул ийм холимог хийхийг зөвшөөрнө.

Асуудал нь Юникод Латин IPA өргөтгөл юм нь бусад латин үсгүүдтэй ижил төстэй гомоглиф агуулдаг: "ɑ" тэмдэг нь "a", "ɡ" - "g", "ɩ" - "l" -тэй төстэй.

Латиныг заасан Юникод тэмдэгтүүдтэй хольсон домэйнуудыг бүртгэх чадварыг Verisign бүртгэгчээс олж тогтоосон (бусад бүртгэгчид баталгаажаагүй), мөн Amazon, Google, Wasabi, DigitalOcean үйлчилгээнд дэд домайнууд бий болсон.

Мөрдөн байцаалтыг зөвхөн Verisign-ийн удирддаг gTLD-д явуулсан боловч асуудал гарч ирэв Үүнийг сүлжээний аваргууд тооцоогүй байсан Гурван сарын дараа, эцсийн мөчид, зөвхөн Амазон, Верисигн хотод л мэдэгдэл илгээсэн боловч зөвхөн тэд асуудлыг маш нухацтай авч үзсэн.

Хэмилтон тайлангаа нууцалж байсан .com, .net гэх мэт алдартай дээд түвшний домэйн өргөтгөлүүдийн (gTLDs) домэйны бүртгэлийг удирддаг Verisign компани асуудлыг шийдсэн.

Судлаачид өөрсдийн домэйныг баталгаажуулах онлайн үйлчилгээг эхлүүлжээ. нэгэнт бүртгэгдсэн домэйн, ижил төстэй нэртэй TLS гэрчилгээг баталгаажуулах зэрэг гомоглифтэй боломжит хувилбаруудыг хайж олох.

HTTPS гэрчилгээний тухайд гэрчилгээний ил тод байдлын бүртгэлээр гомоглиф бүхий 300 домэйныг баталгаажуулсан бөгөөд үүнээс 15 гэрчилгээний үе шатанд бүртгэгдсэн байна.

Бодит Chrome болон Firefox хөтөч нь "xn--" угтвартай тэмдэглэгээний ижил төстэй домэйнуудыг тэмдэглэгээнд харуулдаг боловч домэйнууд нь холбоосууд руу хөрвүүлэлтгүйгээр харагддаг бөгөөд үүнд хортой эх сурвалж эсвэл холбоосыг хуудсан дээр байрлуулж болно. тэдгээрийг хууль ёсны сайтуудаас татаж авах нууц.

Жишээлбэл, гомоглифээр тодорхойлогдсон домэйнүүдийн аль нэгэнд jQuery номын сангийн хортой хувилбар тархсаныг тэмдэглэсэн болно.

Туршилтын үеэр судлаачид 400 доллар зарцуулж, дараахь домайнуудыг бүртгэв Verisign-тэй:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • .comstatic.com
  • steɑmpowered.com
  • theuuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɩoogɩe.com

Si та энэ талаар илүү дэлгэрэнгүй мэдээлэл авахыг хүсч байна энэ нээлтийн талаар та зөвлөгөө авах боломжтой дараах холбоос.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.