Wzrosła liczba ataków hakerskich z wykorzystaniem domen homograficznych – wynika z analizy przygotowanej przez firmę Farsight Security. Na jedną znaną markę przypada średnio około tysiąca „trefnych” adresów.

Homografy to wyrazy o identycznej pisowni, ale odmiennym znaczeniu, czasem również innej wymowie, kategorii gramatycznej i odmianie. W przypadku domen nazwy homograficzne to adresy o pisowni niemal identycznej – przeważnie trudne do rozróżnienia na pierwszy rzut oka, ale wykorzystujące odmienne znaki. Zazwyczaj (ale nie zawsze) są to domeny IDN „naśladujące” domeny non-IDN.

Takie „naśladownictwo” możliwe jest dzięki wykorzystaniu znaków spoza zbioru ASCII, które są łudząco podobne do znaków alfabetu angielskiego. Przykładowe domeny wykorzystujące znaki niefigurujące w tabeli kodów ASCII to choćby Gdańsk.pl czy Abecadło.pl – zawarte w nich litery ze znakami diakrytycznymi nie należą do alfabetu angielskiego, a więc również do zestawu znaków ASCII.

Obecnie w przeglądarkach tego typu adresy są wyświetlane w formie mnemonicznej, czyli ze znakami narodowymi. Do tej postaci konwertowane są za pomocą funkcji Punycode z następującego formatu: xn—znakiascii-kodznakowunicode. Unicode stanowi zbiór znaków w założeniu obejmujący znaki wszystkich pism używanych na świecie, a więc również polskie znaki narodowe, jak „ń” czy „ł”, a także znaki narodowe z innych alfabetów.

To właśnie mechanizm konwersji Punycode sprawia, że wiele znaków spoza zbioru ASCII może zmylić użytkownika ze względu na swoje podobieństwo do znaków ze zbioru ASCII. Domenami homograficznymi wykorzystującymi tę zależność są np. Goógle.pl czy Fącebook.com. Jednak podobieństwo często jest ściślejsze. Przykładowo, część liter rosyjskiego alfabetu pokrywa się z literami alfabetu angielskiego, ale odnosi się do innych dźwięków. Na przykład rosyjskie „y” to polskie „u”, a „p” to „r” – ale „a” to również „a”. Umożliwia to tworzenie nazw IDN, które są praktycznie niemożliwe do odróżnienia od nazw anglojęzycznych. Również w innych alfabetach pojawiają się tego typu analogie.

W raporcie Farsight Security pojawiają się takie adresy, jak baŋkofamerica.com, amazoṇ.com czy fàcebook.com, które różnią się od „oryginałów” niemal niedostrzegalnymi niuansami. Faktyczne URL-e (przed konwersją Punycode) tych domen mają następującą postać: xn--bakofamerica-qfc.com, xn--amazo-7l1b.com i xn--fcebook-8va.com. Natomiast zupełnie niedostrzegalna jest różnica między domeną FаrsightSecurity.com, wykorzystującą znak „a” pochodzący z cyrylicy zamiast „a” z zestawu ASCII, a domeną FarsightSecurity.com złożoną wyłącznie ze znaków ASCII i stanowiącą adres firmy Farsight Security. URL tej pierwszej to xn—frsightsecurity-ulm.com.

Tego typu podobieństwa nadużywane są przez hakerów i phisherów, wyłudzających dane od internautów. Za pomocą domen homograficznych podszywają się oni głównie pod adresy znanych światowych marek. Na ataki narażone są głównie nazwy w rozszerzeniach .com i legacy gTLD (.org, .net itp.), ponieważ większość dużych brandów używa właśnie takich końcówek. Jak wynika z raportu w ciągu trzech miesięcy do 10 stycznia br. na 125 znanych brandów przypadło 116 113 „fejkowych” adresów homograficznych. Średnio – niemal tysiąc na markę. Działalności hakerów sprzyja dostępność nazw IDN. Będzie jej również sprzyjała dostępność nowych końcówek, z których coraz częściej korzystają nowo powstające firmy, a także duże marki, które przenoszą swoje brandy pod adresy nTLD.

Tagi: .idn, ASCII, bezpieczeństwo, domeny homograficzne, Farsight Security, haking, homografy, phishing, Punycode, Unicode