बगला युनिकोड वर्णांसह फिशिंग डोमेन नोंदणी करण्यास परवानगी दिली

फिशिंग वेबसाइट

काही दिवसांपूर्वी विद्रव्य संशोधकांनी त्यांचा नवीन शोध सोडला de होमोग्लिफसह डोमेन नोंदणी करण्याचा नवीन मार्ग ते इतर डोमेनसारखे दिसतात परंतु भिन्न अर्थ असलेल्या वर्णांच्या उपस्थितीमुळे ते भिन्न असतात.

आंतरराष्ट्रीयकृत डोमेन म्हणाली (आयडीएन) पहिल्या दृष्टीक्षेपात भिन्न असू शकते ज्ञात कंपनी आणि सेवा डोमेन कडून, आपल्याला त्यांच्यासाठी योग्य टीएलएस प्रमाणपत्रे मिळवण्यासह, स्पूफिंगसाठी त्यांचा वापर करण्याची परवानगी दिली.

या डोमेनची यशस्वी नोंदणी योग्य डोमेनसारखे दिसते आणि सुप्रसिद्ध आणि संस्थांवर सामाजिक अभियांत्रिकी हल्ले करण्यासाठी वापरले जातात.

विद्रव्य येथे संशोधक मॅट हॅमिल्टन यांनी ओळखले की एकाधिक डोमेन नोंदणी करणे शक्य आहे युनिकोड लॅटिन आयपीए एक्सटेंशन कॅरेक्टर (जसे की ɑ आणि ɩ) वापरुन जेनेरिक टॉप-लेव्हल (जीटीएलडी), आणि खालील डोमेन नोंदणी करण्यात सक्षम होते.

स्पष्टपणे समान आयडीएन डोमेनमार्गे क्लासिक प्रतिस्थापना भिन्न वर्णांमधील वर्णांचे मिश्रण करण्याच्या मनाईमुळे ब्राउझर आणि रजिस्ट्रारमध्ये बराच काळ अवरोधित आहे. उदाहरणार्थ, लॅटिन "अ" (यू + 43) ची जागा सिरिलिक "अ" (यू +0061) सह पुनर्स्थित करुन बनावट अ‍ॅपल डॉट कॉम ("xn--pple-0430d.com") तयार केले जाऊ शकत नाही. वेगवेगळ्या अक्षरे पासून अक्षरे मिसळणे परवानगी नाही.

2017 मध्ये, अशा संरक्षणाचे उल्लंघन करण्याचा एक मार्ग सापडला डोमेनमध्ये फक्त युनिकोड अक्षरे वापरुन, लॅटिन अक्षरे न वापरता (उदाहरणार्थ, लॅटिनसारखे वर्ण असलेल्या भाषेमधील वर्ण वापरुन).

आता संरक्षणाची एक दुसरी पद्धत आढळली आहे, निबंधक अवरोधित करतात या वस्तुस्थितीवर आधारित लॅटिन आणि युनिकोड यांचे मिश्रण, परंतु डोमेनमध्ये निर्दिष्ट केलेली युनिकोड वर्ण लॅटिन वर्णांच्या गटाशी संबंधित असल्यास, अशा मिश्रणास परवानगी आहे, कारण वर्ण समान वर्णमाला आहेत.

समस्या युनिकोड लॅटिन आयपीए विस्तार आहे इतर लॅटिन वर्णांसारखे शब्दलेखन करणारे समान होमोग्लिफ आहेत: "" "चिन्ह" ए "," ɡ "-" जी "," ɩ "-" एल "सारखे आहे.

संकेतशब्द युनिकोड वर्णांमध्ये लॅटिन मिसळलेल्या डोमेनची नोंदणी करण्याची क्षमता व्हेरिसाईन रजिस्ट्रारकडे ओळखली गेली (इतर कोणतेही रजिस्ट्रारस पडताळणी केलेले नाही) आणि अ‍ॅमेझॉन, गूगल, वसाबी आणि डिजिटलऑशन सेवांमध्ये सबडोमेन तयार केले गेले.

जरी तपासणी फक्त व्हेरिसाईन-व्यवस्थापित जीटीएलडी वर केली गेली होती, परंतु समस्या हे नेटवर्कच्या दिग्गजांनी लक्षात घेतले नाही आणि पाठविलेल्या सूचना असूनही, तीन महिन्यांनंतर, शेवटच्या क्षणी, ते फक्त अ‍ॅमेझॉन आणि वेरिसाईन येथे निश्चित केले गेले कारण त्यांनी विशेषतः या समस्येस अतिशय गंभीरतेने घेतले.

हॅमिल्टनने आपला अहवाल खाजगी ठेवला वेरिसाईन पर्यंत .com आणि .net सारख्या प्रमुख शीर्ष-स्तरीय डोमेन विस्तार (जीटीएलडी) साठी डोमेन नोंदणी व्यवस्थापित करणार्‍या कंपनीने ही समस्या निश्चित केली.

त्यांचे डोमेन सत्यापित करण्यासाठी संशोधकांनी एक ऑनलाइन सेवा देखील सुरू केली. आधीपासूनच नोंदणीकृत डोमेनची सत्यापन आणि तत्सम नावांसह टीएलएस प्रमाणपत्रांसह होमोग्लिफसह संभाव्य विकल्प शोधत आहोत.

एचटीटीपीएस प्रमाणपत्रांबद्दल, प्रमाणपत्र पारदर्शकतेच्या रेकॉर्डद्वारे, होमोग्लिफसह 300 डोमेनची पडताळणी केली गेली, त्यापैकी 15 प्रमाणपत्रांच्या निर्मितीमध्ये नोंदणीकृत होते.

वास्तविक क्रोम आणि फायरफॉक्स ब्राउझर अ‍ॅड्रेस बारमध्ये "एक्सएन--" उपसर्गासह समान डोमेन दर्शवितात, तथापि दुवे मध्ये रूपांतरण न करता डोमेन पाहिली जातात, ज्यामध्ये दुर्भावनायुक्त संसाधने किंवा दुवे समाविष्ट करण्यासाठी वापरले जाऊ शकतात कायदेशीर साइटवरून ती डाउनलोड करण्याचे बहाणे पृष्ठे.

उदाहरणार्थ, होमोग्लिफ्सद्वारे ओळखल्या जाणार्‍या एका डोमेनमध्ये, jQuery लायब्ररीच्या दुर्भावनायुक्त आवृत्तीचा प्रसार रेकॉर्ड केला गेला.

प्रयोगादरम्यान, संशोधकांनी $ 400 खर्च केला आणि खालील डोमेन नोंदणी केली Verisign सह:

  • amɑzon.com
  • chɑse.com
  • sɑlesfor.com
  • .mɑil.com
  • .ppɩe.com
  • ebɑy.com
  • aticstatic.com
  • steɑmppowered.com
  • theɡguardian.com
  • theverɡe.com
  • वॉशिनॉनपोस्ट.कॉम
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • मायक्रोसॉफ्टनोइन.कॉम
  • mɑzonɑws.com
  • roidndroid.com
  • नेटफिक्स डॉट कॉम
  • nvidiɑ.com
  • .oogɩe.com

Si आपण त्याबद्दल अधिक तपशील जाणून घेऊ इच्छित आहात या शोधाबद्दल, आपण सल्लामसलत करू शकता खालील दुवा.


टिप्पणी करणारे सर्वप्रथम व्हा

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.