Xakep #305. Многошаговые SQL-инъекции
Специалисты компании Analytics Edge обнаружили интересный прецедент. В последнее время спамеры часто используют Google Analytics для так называемого реферального спама (referral spam), оставляя владельцев сайтов разбираться, откуда все это взялось. Так, в начале ноября, перед выборами президента США, спамеры использовали реферальный спам для оставления сообщения «Vote for Trump» («Голосуйте за Трампа»). И источником этого спама оказывался домен secret.ɢoogle.com.
Исследователи объясняют, что к Google этот домен не имеет никакого отношения. Просто какой-то предприимчивый спамер (по данным исследователей – из России) придумал подменить букву “G” Unicode-символом 0262, то есть «ɢ». Если поставить символы рядом (ɢ G), разница очевидна, однако пользователи не замечают подмены, глядя на ссылку вида ɢoogle.com.
В настоящий момент попытка посетить ɢoogle.com окончится редиректом на вот такой интересный адрес: money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com.На сайте некий «Виталий Попов из России» поздравляет Трампа и всех американцев с победой.
Исследователи объясняют, что символ «ɢ» — это маленькая прописная «G». Так как в последние годы происходит интернационализация доменных имен, что позволяет пользователям регистрировать доменные имена на родных языках, использование подобных символов стало допустимо. Теперь специалисты Analytics Edge предрекают новый виток фишинга и спама, с применением подобных подмен.