Ошибка, позволяющая регистрировать фишинговые домены с символами Unicode.

фишинговый веб-сайт

Несколько дней назад Исследователи растворимых веществ опубликовали свое новое открытие de новый способ регистрации доменов с гомоглифами которые выглядят как другие домены, но на самом деле отличаются из-за наличия символов с другим значением.

Указанные интернационализированные домены (IDN) может на первый взгляд не отличаться известных доменов компаний и служб, что позволяет использовать их для подделки, включая получение для них правильных сертификатов TLS.

Успешная регистрация этих доменов выглядит как правильные домены и хорошо известны, и используются для проведения атак социальной инженерии на организации.

Мэтт Гамильтон, исследователь из Soluble, обнаружил, что можно зарегистрировать несколько доменов. общий верхний уровень (gTLD) с использованием символа расширения Unicode Latin IPA (например, ɑ и ɩ), а также смог зарегистрировать следующие домены.

Классическая подмена через явно похожий домен IDN долгое время блокировалась браузерами и регистраторами из-за запрета смешивания символов из разных алфавитов. Например, поддельный домен apple.com («xn--pple-43d.com») не может быть создан путем замены латинского «a» (U + 0061) на кириллический «a» (U + 0430), т.к. владение буквами разных алфавитов не допускается.

В 2017 году был обнаружен способ обойти такую ​​защиту. используя только символы Unicode в домене, без использования латинского алфавита (например, используя языковые символы с символами, подобными латинскому).

Сейчас найден еще один способ обхода защиты, исходя из того, что регистраторы блокируют смесь латиницы и Unicode, но если символы Unicode, указанные в домене, принадлежат к группе латинских символов, такое смешение разрешено, поскольку символы принадлежат одному алфавиту.

Проблема в том, что расширение Unicode Latin IPA содержит гомоглифы, схожие по написанию с другими латинскими буквами: символ «ɑ» напоминает «a», «ɡ» - «g», «ɩ» - «l».

Возможность регистрации доменов, где латынь смешана с указанными символами Unicode, была идентифицирована регистратором Verisign (другие регистраторы не проверялись), а субдомены были созданы в сервисах Amazon, Google, Wasabi и DigitalOcean.

Хотя расследование проводилось только в gTLD, управляемых Verisign, проблема Не учли гиганты сети и, несмотря на отправленные уведомления, три месяца спустя, в последнюю минуту, это было исправлено только в Amazon и Verisign, поскольку только они, в частности, очень серьезно относились к проблеме.

Гамильтон держал свой отчет в секрете пока Verisign, компания, которая управляет регистрацией доменов для известных расширений доменов верхнего уровня (gTLD), таких как .com и .net, не устранила проблему.

Исследователи также запустили онлайн-сервис для проверки своих доменов. поиск возможных альтернатив с гомоглифами, включая проверку уже зарегистрированных доменов и сертификатов TLS с похожими именами.

Что касается сертификатов HTTPS, 300 доменов с гомоглифами были проверены с помощью записей о прозрачности сертификатов, из которых 15 были зарегистрированы при генерации сертификатов.

Настоящие браузеры Chrome и Firefox показывают похожие домены в адресной строке в обозначении с префиксом «xn--», однако домены видны без преобразования в ссылках, которые могут быть использованы для вставки вредоносных ресурсов или ссылок на страницы под предлог для их скачивания с легальных сайтов.

Например, в одном из доменов, обозначенных гомоглифами, зафиксировано распространение вредоносной версии библиотеки jQuery.

Во время эксперимента исследователи потратили 400 долларов и зарегистрировали следующие домены с Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si вы хотите узнать больше об этом об этом открытии вы можете проконсультироваться по следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.