На сегодняшний день так называемые омографические атаки по-прежнему остаются весьма популярной методикой среди киберпреступников. К примеру, в середине марта 2018 года неизвестные злоумышленники предприняли попытку атаки на пользователей крупной криптовалютной биржи Binance. Как оказалось, перед атакой преступники провели серию успешных фишинговых кампаний, в результате которых собрали учетные данные от аккаунтов множества пользователей. Для этой цели в основном использовались поддельные домены, имитирующие настоящий домен Binance при помощи Punycode.
Подобные инциденты, к сожалению, совсем не редкость. Так, летом 2017 года обнаружилось, что неизвестные мошенники развернули кампанию, направленную против пользователей мессенджера WhatsApp. Злоумышленники присылали жертвам ссылки, якобы ведущие на официальный сайт WhatsApp (whatsapp.com), тогда как на самом деле ссылки вели на поддельный домен шһатѕарр.com.
В 2016 году таким же образом google.com превращали в ɢoogle.com, а в конце апреля 2017 года китайский исследователь Сюдун Чжен (Xudong Zheng) предупреждал, что браузеры Chrome, Firefox и Opera уязвимы перед практически необнаружимыми фишинговыми атаками, с помощью которых злоумышленники могут регистрировать поддельные домены, практически неотличимые от настоящих ресурсов Apple, Google, eBay, Amazon и многих других компаний.
Корень данной проблемы лежит в использовании Punycode — стандартизированного метода преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.
Из-за подобных подмен клик на pаypal.com может привести жертву на сайт xn--pypal-4ve.com, а домен coịnbạse.com на самом деле окажется xn--conbse-zc8b7m.com. Увы, до сих пор не все браузеры отображают такие URL очевидным для пользователя образом. Так, Edge или Vivaldi покажут в адресной строке честное xn--conbse-zc8b7m.com, тогда как Chrome и Firefox по умолчанию «борются» с Punycode менее активно. Так, настоящий адрес можно увидеть не в строке адреса, а в заголовке, чем и пользуются многочисленные мошенники.
На интересный вариант решения данной проблемы обратили внимание специалисты BleepingComputer. Издание сообщило о появлении специального расширения для Chrome, разработанного командой Phish.ai. Данное решение обнаруживает имена доменов, в которых используются какие-либо символы, помимо стандартных. В таком случае расширение показывает пользователю большое красное предупреждение, сообщая, что сайт может быть опасен и, вероятнее всего, принадлежит фишерам.
Исходный код Phish.AI IDN Protect опубликован на GitHub, а также расширение доступно для скачивания в официальном Chrome Web Store.
