ไม่กี่วันที่ผ่านมา นักวิจัยที่ละลายน้ำได้เปิดตัวการค้นพบใหม่ของพวกเขา de วิธีใหม่ในการจดทะเบียนโดเมนด้วย homoglyphs ที่ดูเหมือนโดเมนอื่น ๆ แต่จริงๆแล้วแตกต่างกันเนื่องจากมีอักขระที่มีความหมายแตกต่างกัน
โดเมนสากลดังกล่าว (ไอดีเอ็น) มองแวบแรกอาจไม่แตกต่างกัน จากโดเมนของ บริษัท และบริการที่เป็นที่รู้จักทำให้คุณสามารถใช้เพื่อปลอมแปลงรวมถึงรับใบรับรอง TLS ที่ถูกต้อง
การจดทะเบียนโดเมนเหล่านี้สำเร็จดูเหมือนโดเมนที่ถูกต้อง เป็นที่รู้จักกันดีและใช้ในการโจมตีทางวิศวกรรมสังคมในองค์กร
Matt Hamilton นักวิจัยของ Soluble ระบุว่าสามารถจดทะเบียนหลายโดเมนได้ ระดับบนสุดทั่วไป (gTLD) โดยใช้อักขระส่วนขยาย Unicode Latin IPA (เช่นɑและɩ) และยังสามารถลงทะเบียนโดเมนต่อไปนี้
การแทนที่แบบคลาสสิกผ่านโดเมน IDN ที่ดูเหมือนจะถูกบล็อกมานานแล้วในเบราว์เซอร์และผู้ลงทะเบียนเนื่องจากมีการห้ามไม่ให้ใช้ตัวอักษรผสมกัน ตัวอย่างเช่นไม่สามารถสร้างโดเมนปลอม apple.com ("xn--pple-43d.com") โดยแทนที่ "a" (U + 0061) แบบละตินด้วยอักษรซีริลลิก "a" (U + 0430) เนื่องจาก ไม่อนุญาตให้ผสมความเชี่ยวชาญของตัวอักษรจากตัวอักษรที่แตกต่างกัน
ในปี 2017 มีการค้นพบวิธีหลีกเลี่ยงการป้องกันดังกล่าว โดยใช้เฉพาะอักขระ Unicode ในโดเมนโดยไม่ต้องใช้อักษรละติน (ตัวอย่างเช่นใช้อักขระจากภาษาที่มีอักขระคล้ายกับละติน)
ตอนนี้ พบวิธีการอื่นในการหลีกเลี่ยงการป้องกันตามข้อเท็จจริงที่ว่าผู้รับจดทะเบียนปิดกั้นไฟล์ การผสมผสานระหว่างภาษาละตินและ Unicode แต่ถ้าอักขระ Unicode ที่ระบุในโดเมนอยู่ในกลุ่มของอักขระละตินการผสมดังกล่าวจะได้รับอนุญาตเนื่องจากอักขระเป็นตัวอักษรเดียวกัน
ปัญหาคือนามสกุล Unicode Latin IPA มีคำพ้องเสียงคล้ายกันในการสะกดตัวอักษรละตินอื่น ๆ : สัญลักษณ์ "ɑ" คล้าย "a", "ɡ" - "g", "ɩ" - "l"
ความสามารถในการจดทะเบียนโดเมนที่มีการผสมภาษาละตินกับอักขระ Unicode ที่ระบุไว้กับผู้รับจดทะเบียน Verisign (ไม่มีการยืนยันผู้รับจดทะเบียนรายอื่น) และโดเมนย่อยถูกสร้างขึ้นในบริการของ Amazon, Google, Wasabi และ DigitalOcean
แม้ว่าการตรวจสอบจะดำเนินการเฉพาะใน gTLD ที่จัดการโดย Verisign แต่ปัญหานี้ มันไม่ได้ถูกพิจารณาโดยยักษ์ใหญ่ของเครือข่าย และแม้จะมีการแจ้งเตือนที่ส่งไป แต่สามเดือนต่อมาในนาทีสุดท้ายมันได้รับการแก้ไขเฉพาะที่ Amazon และ Verisign เนื่องจากเฉพาะพวกเขาเท่านั้นที่แก้ไขปัญหานี้อย่างจริงจัง
แฮมิลตันเก็บรายงานของเขาไว้เป็นส่วนตัว จนกระทั่ง Verisign บริษัท ที่จัดการการจดทะเบียนโดเมนสำหรับส่วนขยายโดเมนระดับบนสุด (gTLD) ที่โดดเด่นเช่น. com และ. net ได้แก้ไขปัญหา
นักวิจัยยังเปิดตัวบริการออนไลน์เพื่อยืนยันโดเมนของตน มองหาทางเลือกอื่นที่เป็นไปได้ด้วย homoglyphs รวมถึงการตรวจสอบโดเมนที่ลงทะเบียนแล้วและใบรับรอง TLS ที่มีชื่อคล้ายกัน
เกี่ยวกับใบรับรอง HTTPS ผ่านบันทึกความโปร่งใสของใบรับรองมีการตรวจสอบโดเมน 300 โดเมนที่มี homoglyphs ซึ่ง 15 โดเมนได้รับการลงทะเบียนในการสร้างใบรับรอง
เบราว์เซอร์ Chrome และ Firefox จริงแสดงโดเมนที่คล้ายกันในแถบที่อยู่ในรูปแบบที่มีคำนำหน้า "xn--" อย่างไรก็ตามโดเมนจะเห็นโดยไม่มีการแปลงในลิงก์ซึ่งสามารถใช้เพื่อแทรกทรัพยากรหรือลิงก์ที่เป็นอันตรายใน หน้าภายใต้ข้ออ้างว่าดาวน์โหลดจากไซต์ที่ถูกต้อง
ตัวอย่างเช่นในโดเมนใดโดเมนหนึ่งที่ระบุด้วย homoglyphs มีการบันทึกการแพร่กระจายของไลบรารี jQuery เวอร์ชันที่เป็นอันตราย
ในระหว่างการทดลอง นักวิจัยใช้เงิน 400 ดอลลาร์และจดทะเบียนโดเมนต่อไปนี้ ด้วย Verisign:
- amɑzon.com
- chase.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theuardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wlmɑrt.com
- wsɑbisys.com
- yɑhoo.คอม
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑ android.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si คุณต้องการทราบรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้ เกี่ยวกับการค้นพบนี้คุณสามารถปรึกษาได้ ลิงค์ต่อไปนี้