Атака чрез регистриране на фишингови домейни с приличащи си Unicode символи в имената

1
1086

Експертите на компанията Soluble разкриха нов начин за регистриране на домейни с омоглифи. Тези домейни външно много приличат на оригиналните домейни, но се различават по наличието на специални символи. Тези интернационализирани домейни (IDN) на пръв поглед по нищо не се различават от домейните на най-известните компании и онлайн услуги. Те получават коректни TLS сертификати и са идеални за фишинг.

Класическата подмяна на оригинален с подобен IDN домейн отдавна се блокира чрез въведената забрана за смесване на символи от различни азбуки. Рака например, фалшивият домейн аpple.com („xn--pple-43d.com“) няма как да бъде създаден чрез подмяна на латинската буква „a“ (U+0061) с „а“ (U+0430) от кирилицата, понеже не се допуска смесването на букви от различни азбуки в един и същи домейн. През 2017 година бе намерен начин за заобикаляне на тази защита чрез използване в домейна само на Unicode символи, без използване на латиница.

А сега бе открит още един начин за заобикаляне на защитата. Използва се фактът, че регистраторите на домейни позволяват смесването на латински букви с Unicode Latin IPA разширението, което се счита за част от латинската азбука и включва омоглифи, които много приличат на другите символи от латинската азбука. Така например символът „ɑ“ напомня на „a“, „ɡ“ – „g“, „ɩ“ – „l“.

Възможността за регистриране на домейни, в които латиницата се смесва с допълнителните Unicode символи, бе засечена при регистратора Verisign, но другите регистратори не са проверявани. Създадени са сходни домейни на Amazon, Google, Wasabi и DigitalOcean. Проблемът бе разкрит през месец ноември миналата година и след три месеца е решен само за Amazon и Verisign.

По време на експеримента специалистите са изхарчили $400 и са регистрирали във Verisign следните домейни:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Експертите създадоха и онлайн услуга за проверка на домейни с възможни алтернативни варианти с омоглифи, включително и на своите новосъздадени домейни. Проверяват се и TLS сертификатите на тези имена. Що се отнася до HTTPS сертификатите, то чрез логовете на Certificate Transparency бяха проверени 300 домейна с омоглифи, за 15 от които е регистрирано генериране на HTTPS сертификати.

Актуалните към днешен ден браузъри Chrome и Firefox показват този вид домейни в адресния ред чрез префикса „xn--“ за тези специални символи. Но в съдържанието на страниците линковете към подобни домейни не се преобразуват по никакъв начин и това може да се използва за препращане на потребителите към вредоносни уеб ресурси. Така например, в един от разглежданите домейни с омоглифи бе фиксирано разпространението на вредоносния вариант на програмната библиотека jQuery.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари