Pinapayagan ang isang bug na magparehistro ng mga domain ng phishing na may mga character na Unicode

Darkcrizt

4 Minutos

web site ng phishing

Ilang araw na ang nakaraan ang Ang mga nalulusaw na mananaliksik ay naglabas ng kanilang bagong tuklas de isang bagong paraan upang magrehistro ng mga domain sa mga homoglyph na kamukha ng ibang mga domain, ngunit talagang magkakaiba dahil sa pagkakaroon ng mga character na may iba't ibang kahulugan.

Sinabi na internationalised domain (IDN) maaaring sa unang tingin ay hindi magkakaiba mula sa mga kilalang domain ng kumpanya at serbisyo, pinapayagan kang gamitin ang mga ito para sa spoofing, kabilang ang pagtanggap ng tamang mga sertipiko ng TLS para sa kanila.

Ang matagumpay na pagpaparehistro ng mga domain na ito ay mukhang wastong mga domain at kilalang-kilala, at ginagamit upang isagawa ang mga pag-atake ng social engineering sa mga samahan.

Si Matt Hamilton, isang mananaliksik sa Soluble, ay kinilala na posible na magparehistro ng maraming mga domain generic top-level (gTLD) gamit ang Unicode Latin IPA extension character (tulad ng ɑ at ɩ), at nakapagrehistro din ang mga sumusunod na domain.

Ang klasikong pagpapalit sa pamamagitan ng isang tila katulad na domain ng IDN ay matagal nang na-block sa mga browser at registrar, dahil sa pagbabawal ng paghahalo ng mga character mula sa iba't ibang mga alpabeto. Halimbawa, ang pekeng domain apple.com ("xn--pple-43d.com") ay hindi maaaring malikha sa pamamagitan ng pagpapalit sa Latin na "a" (U + 0061) ng Cyrillic "a" (U + 0430), mula noong Paghahalo hindi pinapayagan ang pag-master ng mga letra mula sa iba't ibang mga alpabeto.

Noong 2017, natuklasan ang isang paraan upang maiwasan ang naturang proteksyon sa pamamagitan ng paggamit lamang ng mga unicode character sa domain, nang hindi gumagamit ng alpabetong Latin (halimbawa, paggamit ng mga character na wika na may mga character na katulad sa Latin).

Ngayon isa pang pamamaraan ng pag-iwas sa proteksyon ay natagpuan, batay sa katotohanan na harangan ng mga registrar ang halo ng Latin at Unicode, ngunit kung ang mga character na Unicode na tinukoy sa domain ay kabilang sa isang pangkat ng mga Latin character, pinapayagan ang naturang paghahalo, dahil ang mga character ay kabilang sa parehong alpabeto.

Ang problema ay ang extension ng Unicode Latin IPA naglalaman ng mga homoglyph na katulad sa pagbaybay sa iba pang mga Latin character: ang simbolong "ɑ" ay kahawig ng "a", "ɡ" - "g", "ɩ" - "l".

Ang posibilidad ng pagrerehistro ng mga domain kung saan ang Latin ay halo-halong may ipinahiwatig na mga character na Unicode ay nakilala sa registrar ng Verisign (walang ibang mga registrar ang napatunayan), at ang mga subdomain ay nilikha sa mga serbisyo ng Amazon, Google, Wasabi at DigitalOcean.

Bagaman ang pagsisiyasat ay isinagawa lamang sa mga pinamamahalaang VerTign gTLD, ang problema hindi ito isinasaalang-alang ng mga higante ng network At sa kabila ng ipinadala na mga abiso, pagkalipas ng tatlong buwan, sa huling minuto, naayos lamang ito sa Amazon at Verisign dahil sila lamang ang partikular na sumeryoso sa problema.

Iningatan ni Hamilton ang kanyang ulat na pribado hanggang sa Verisign, ang kumpanya na namamahala ng mga pagrehistro sa domain para sa kilalang mga nangungunang antas ng mga extension ng domain (gTLD) tulad ng .com at .net, naayos ang problema.

Naglunsad din ang mga mananaliksik ng isang serbisyong online upang mapatunayan ang kanilang mga domain. naghahanap ng mga posibleng kahalili sa mga homoglyph, kasama ang pag-verify ng mga nakarehistrong domain at mga sertipiko ng TLS na may magkatulad na mga pangalan.

Tungkol sa mga sertipiko ng HTTPS, 300 mga domain na may mga homoglyph ang na-verify sa pamamagitan ng mga tala ng Transparency ng Certificate, kung saan 15 ang nakarehistro sa pagbuo ng mga sertipiko.

Ang mga browser ng Real Chrome at Firefox ay nagpapakita ng mga katulad na domain sa address bar sa notasyon na may unlapi na "xn--", gayunpaman, ang mga domain ay nakikita nang walang conversion sa mga link, na maaaring magamit upang magsingit ng nakakahamak na mapagkukunan o mga link sa mga pahina, sa ilalim ng ang kunwari ng pag-download ng mga ito mula sa mga lehitimong site.

Halimbawa, sa isa sa mga domain na nakilala sa mga homoglyphs, naitala ang pagkalat ng isang nakakahamak na bersyon ng jQuery library.

Sa panahon ng eksperimento, Gumastos ang mga mananaliksik ng $ 400 at nairehistro ang mga sumusunod na domain kasama ang Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washingtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si nais mong malaman ang higit pang mga detalye tungkol dito tungkol sa pagtuklas na ito, maaari kang kumunsulta ang sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.