Омографические атаки вновь напомнили о себе

Исследователи компании Soluble сообщили о новых случаях так называемых омографических атак. Эти атаки известны уже почти 20 лет, в их основе лежит принцип использования в доменных именах символов нелатинских алфавитов, внешне неотличимых от латинских букв (кстати, одним из самых популярных в этом смысле у злоумышленников долгое время оставался кириллический алфавит). В результате в адресной строке браузера отображается имя, например, Google.com или Apple.com, однако переход ведет на фальшивую страницу созданную для похищения логинов и паролей.

Интернет-индустрия, разумеется, принимает меры для предотвращения подобных атак. В частности, компания Verisign, регистратура крупнейших общих доменов верхнего уровня .COM и .NET, запретила регистрацию доменных имен, содержащих одновременно символы алфавитов различных языков. Но киберпреступники продолжают находить лазейки. Об одной из них и рассказали специалисты Soluble. Они обнаружили фальшивые страницы, имитирующие сайты ведущих компаний из списка топ-100 журнала Fortune. Их доменные имена визуально совпадали с доменами официальных сайтов компаний. Как выяснилось, при регистрации доменов мошенники использовали Unicode-символы международного фонетического алфавита (IPA). Этот алфавит используется главным образом филологами, лингвистами, переводчиками и логопедами и служит для записи фонетической транскрипции – передачи на письме звуков любого языка. Он мало известен широкой публике и не относится ни к одному из существующих языков. Вероятно, по этой причине на символы IPA не распространяется запрет, наложенный Verisign, чем и воспользовались злоумышленники.

Стоит добавить, что обнаруженные фальшивые сайты имеют действительные TLS-сертификаты и используют защищенное HTTPS-соединение, а потому отличить их от легитимных ресурсов – крайне сложная задача. Исследователи Soluble уведомили о проблеме компанию Verisign и оказывают ее специалистам помощь в выявлении и блокировке омографических доменных имен.

Источник: The Register