Lỗi được phép đăng ký miền lừa đảo bằng các ký tự Unicode

trang web lừa đảo

Một vài ngày trước, Các nhà nghiên cứu hòa tan đã công bố khám phá mới của họ de một cách mới để đăng ký tên miền với chữ đồng nhất giống với các miền khác, nhưng thực sự khác do sự hiện diện của các ký tự có nghĩa khác.

Các miền quốc tế hóa đã nói (IDN) thoạt nhìn có thể không khác từ các miền dịch vụ và công ty đã biết, cho phép bạn sử dụng chúng để giả mạo, bao gồm cả việc nhận chứng chỉ TLS chính xác cho chúng.

Đăng ký thành công các miền này trông giống như các miền chính xác và nổi tiếng, và được sử dụng để thực hiện các cuộc tấn công kỹ thuật xã hội vào các tổ chức.

Matt Hamilton, một nhà nghiên cứu tại Soluble, nhận định rằng có thể đăng ký nhiều miền cấp cao nhất chung chung (gTLD) sử dụng ký tự mở rộng IPA tiếng Latinh Unicode (chẳng hạn như ɑ và ɩ), và cũng có thể đăng ký các miền sau.

Việc thay thế cổ điển thông qua một miền IDN có vẻ tương tự từ lâu đã bị chặn trong các trình duyệt và công ty đăng ký, do việc cấm trộn các ký tự từ các bảng chữ cái khác nhau. Ví dụ: không thể tạo tên miền giả apple.com ("xn--pple-43d.com") bằng cách thay thế chữ Latinh "a" (U + 0061) bằng chữ Cyrillic "a" (U + 0430), vì Không được phép trộn thành thạo các chữ cái từ các bảng chữ cái khác nhau.

Vào năm 2017, một cách để phá vỡ sự bảo vệ như vậy đã được phát hiện bằng cách chỉ sử dụng các ký tự unicode trong miền mà không sử dụng bảng chữ cái Latinh (ví dụ: sử dụng các ký tự ngôn ngữ có các ký tự tương tự như Latinh).

Bây giờ một phương pháp bảo vệ khác đã được tìm thấy, dựa trên thực tế là các nhà đăng ký chặn kết hợp giữa tiếng Latinh và Unicode, nhưng nếu các ký tự Unicode được chỉ định trong miền thuộc một nhóm các ký tự Latinh, thì việc trộn như vậy được phép, vì các ký tự này thuộc cùng một bảng chữ cái.

Vấn đề là phần mở rộng Unicode Latin IPA chứa các chữ đồng âm tương tự cách viết với các ký tự Latinh khác: ký hiệu "ɑ" giống "a", "ɡ" - "g", "ɩ" - "l".

Khả năng đăng ký các miền trong đó tiếng Latinh được trộn với các ký tự Unicode được chỉ định đã được xác định với công ty đăng ký Verisign (không có công ty đăng ký nào khác được xác minh) và các miền phụ được tạo trong các dịch vụ Amazon, Google, Wasabi và DigitalOcean.

Mặc dù cuộc điều tra chỉ được tiến hành trên các gTLD do Verisign quản lý, vấn đề Nó đã không được tính đến bởi những người khổng lồ của mạng Và bất chấp các thông báo đã được gửi đi, ba tháng sau, vào phút cuối, nó chỉ được khắc phục ở Amazon và Verisign vì chỉ có họ đặc biệt coi trọng vấn đề.

Hamilton giữ kín báo cáo của mình cho đến khi Verisign, công ty quản lý đăng ký tên miền cho các phần mở rộng tên miền cấp cao nhất (gTLD) nổi bật như .com và .net, đã khắc phục được sự cố.

Các nhà nghiên cứu cũng đưa ra một dịch vụ trực tuyến để xác minh tên miền của họ. đang tìm kiếm các giải pháp thay thế có thể có với homoglyphs, bao gồm xác minh các miền đã đăng ký và chứng chỉ TLS có tên tương tự.

Về chứng chỉ HTTPS, thông qua hồ sơ Tính minh bạch của chứng chỉ, 300 miền có chữ đồng nhất đã được xác minh, trong đó 15 miền đã được đăng ký trong quá trình tạo chứng chỉ.

Các trình duyệt Chrome và Firefox thực hiển thị các miền tương tự nhau trong thanh địa chỉ trong ký hiệu với tiền tố 'xn--', tuy nhiên, các miền được nhìn thấy mà không có chuyển đổi trong các liên kết, có thể được sử dụng để chèn các tài nguyên hoặc liên kết độc hại vào trang, với lý do là tải chúng xuống từ các trang hợp pháp.

Ví dụ: tại một trong các miền được xác định bằng homoglyphs, việc phát tán phiên bản độc hại của thư viện jQuery đã được ghi lại.

Trong quá trình thử nghiệm, các nhà nghiên cứu đã chi 400 đô la và đăng ký các miền sau với Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡguardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si bạn muốn biết thêm chi tiết về nó về khám phá này, bạn có thể tham khảo liên kết sau.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố.

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.