Перейти к содержимому

MOAB

* * * * * 1 Голосов

Возможность регистрации фишинговых доменов с похожими unicode-символами в имени


  • Войдите, чтобы ответить
Сообщений в теме: 4

#1 azsx

azsx

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 5 087 сообщений
3 222

Отправлено 05 Март 2020 - 02:59

Цитата

Исследователи из компании Soluble выявили новый способ регистрации доменов с омоглифами, внешне похожими на другие домены, но фактически отличающиеся из-за наличия символов с иным значением. Подобные интернационализированные домены (IDN) могут на первый взгляд не отличаться от доменов известных компаний и сервисов, что позволяет использовать их для фишинга, в том числе получая для них корректные TLS-сертификаты.
Классическая подмена через внешне сходный IDN-домен давно блокируется в браузерах и регистраторами, благодаря запрету смешивания символов из разных алфавитов. Например, подставной домен аpple.com ("xn--pple-43d.com") не получится создать путём замены латинской "a" (U+0061) на кириллическую "а" (U+0430), так как смешивание в домене букв из разных алфавитов не допускается. В 2017 году был найден способ обхода подобной защиты через использование в домене только unicode-символов, без использования латиницы (например, при помощи символов языка с похожими на латиницу символами).
Теперь найден ещё один метод обхода защиты, основанный на том, что регистраторы блокируют смешивание латиницы и Unicode, но если указываемые в домене Unicode-символы относятся к группе латинских символов, такое смешивание допускается, так как символы принадлежат к одному алфавиту. Проблема в том, что в расширении Unicode Latin IPA присутствуют омоглифы, похожие по написанию на другие символы латинского алфавита: символ "ɑ" напоминает "a", "ɡ" - "g", "ɩ" - "l". Изображение
Возможность регистрации доменов, в которых латиница смешивается с указанными Unicode символами, была выявлена у регистратора Verisign (другие регистраторы не проверялись), а поддомены удалось создать в сервисах Amazon, Google, Wasabi и DigitalOcean. Проблема была найдена в ноябре прошлого года и, несмотря на отправленные уведомления, спустя три месяца в последний момент была устранена только в Amazon и Verisign.
В ходе эксперимента исследователи потратив 400 долларов зарегистрировали в Verisign следующие домены:
  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com
Исследователи также запустили online-сервис для проверки своих доменов на наличие возможных альтернативных вариантов с омоглифами, в том числе с проверкой уже зарегистрированных доменов и TLS-сертификатов с подобными именами. Что касается HTTPS-сертификатов, то через логи Certificate Transparency было проверено 300 доменов с омоглифами, из которых для 15 была зафиксирована генерация сертификатов.
Актуальные браузеры Chrome и Firefox отображают подобные домены в адресной строке в нотации с префиксом "xn--", тем не менее в ссылках домены выглядят без преобразования, что можно использовать для вставки на страницы вредоносных ресурсов или ссылок, под видом их загрузи с легитимных сайтов. Например, на одном из выявленных доменов с омоглифами было зафиксировано распространение вредоносного варианта библиотеки jQuery.


#2 Матумба

Матумба

    во имя матана

  • Участник
  • PipPipPipPipPip
  • 5 186 сообщений
6 601
  • ИзКрии

Отправлено 05 Март 2020 - 03:19

юникод сцуко коварен
"Они не могут ничего, у них лапки котят"

#3 donc

donc

    Гай Юлий Калигула Сковородкер

  • Основатель
  • PipPipPipPipPip
  • 9 854 сообщений
8 646
  • Изсекты свидетелей Кецалькоатля

Отправлено 05 Март 2020 - 05:49

Просмотр сообщенияazsx сказал:

ɡmɑil.com
Но в целом надо быть слепошарым бараном, чтобы не заметить такой адрес адресной строке браузера.
Изображение
Хотя на них, собственно и рассчитано :)

#4 azsx

azsx

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 5 087 сообщений
3 222

TC Отправлено 05 Март 2020 - 06:11

или получать доступ с современного браузера, где адресная строка служит для поиска, а не для отображения адреса. Скрывается на мобилках (не знаю у всех так или нет) и не акцентрируется внимание на ПК.

#5 donc

donc

    Гай Юлий Калигула Сковородкер

  • Основатель
  • PipPipPipPipPip
  • 9 854 сообщений
8 646
  • Изсекты свидетелей Кецалькоатля

Отправлено 05 Март 2020 - 08:09

Просмотр сообщенияazsx сказал:

получать доступ с современного браузера, где адресная строка служит для поиска, а не для отображения адреса Скрывается на мобилках (не знаю у всех так или нет) и не акцентрируется внимание на ПК.
Впервые слышу. В у меня на мобильном в хроме и его клонах ничего не скрывается в адресной строке. Это было бы вредительство.
Яблоков неимею. Может в сафари и скрываются, но эти понторезы должны страдать по определению.



Похожие темы


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2020 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal