Internasjonaliserte domenenavn skaper phishing-risikoer: Her er en løsning

Phishing-angrep er fortsatt en topp taktikk for å målrette cyberattacks på forretningsområde Security Security CEO og tidligere NSA-spion Oren Falkowitz forklarer hvorfor teknologi, trening og utdanning er de beste metodene for å redusere risikoen for phishing-baserte cyberangrep.

Da ICANN begynte å tillate registrering av internasjonaliserte domenenavn - det vil si domenenavn som bruker ikke-ASCII-tegn - åpnet de uforvarende en ny metode for phishing-kampanjer for å lykkes. Visuelle likheter mellom tegn i forskjellige manus, kalt homoglyfer, kan brukes til å lage domenenavn med visuelt uforståelige forskjeller som kan brukes til å lure brukere til å tro at ett domene faktisk er et annet.

Uten å bruke lenker, bør du vurdere forskjellene mellom ТесhRерubliс og TechRepublic. Den ene er skrevet normalt, med ASCII-tegn. Den andre erstatter de latinbaserte ASCII-tegnene med kyrilliske tegn for T, e, c og p. (Svaret som er skrevet nederst i denne artikkelen.) Russisk egner seg godt til homoglyphangrep, ettersom små bokstaver a, o, x og y kan gjengis identisk, som а, о, х og у, med andre muligheter som finnes i ikke-russiske kyrilliske tegn. Andre, mindre presise homoglyfer er også mulig. For eksempel er bokstaven i visuelt lik і (kyrillisk) og ì (latin, med grav).

Dette er til en viss grad et problem på andre språk også. Tenk på at japansk har tre skrivesystemer - Hiragana, Katakana og Kanji. For firmanavnet Mitsubishi vil det normalt være skrevet som 三菱 (tre diamanter). For japansk ser kanji for tre (三) lik katakana for mi (ミ), noe som kan føre til forvirring. Som forventet er det mulig å blande og matche disse skrivesystemene når du registrerer domenenavn. For tradisjonell og forenklet kinesisk er mange figurer homoglyfer av hverandre også.

Hovedsakelig blir dette et problem når angripere bruker disse homoglyphene i phishing-angrep, da det ville være lett å etterligne seg populære nettsteder som bruker denne typen strategier. ICANNs retningslinjer for hvordan man skal takle dette problemet - eller IDNer generelt - er sparsom. Som et resultat har hvert register sine egne regler for hvordan de skal håndtere IDN-er.

Mange ccTLD-er og nye gTLD-er tillater ikke IDN-er, eller har begrensninger for hvordan de kan brukes, selv om disse er uoverensstemmende mellom registrene. .Com- og .net-registrene tillater i hovedsak noe. Ved å være den mest populære TLD-en for legitime nettsteder, gjør mangelen på beskyttelse i dette tilfellet det mer attraktivt for phishers.

For øyeblikket håndterer Google Chrome, Microsoft Edge og Mozilla Firefox IDNer med blandet karakter ved å gå tilbake til punycode, det vil si ASCII-representasjonen av et IDN. På grunn av kompleksiteten i å endre karakterkoding, ble IDN-er implementert på en noe kludge-lignende måte. Så fra eksemplet ovenfor, i stedet for å se techrepublic.com i adressefeltet, vil du se xn--hrubli-2ofc3hgib.com.

Men denne oppførselen bryter situasjoner der det kan forventes å blande ikke-latinske tegn med standard ASCII tegnsett. Microsoft prøvde å løse dette problemet ved å hvitliste skript manuelt i IE, som får lov til å blande seg med ASCII uten å gå tilbake til punycode.

Det er imidlertid en mer elegant løsning på dette problemet. For domenenavn som blander ASCII- og ikke-ASCII-tegn, vil det å endre individuelle ikke-ASCII-tegn i et domenenavn til rødt i adressefeltet tilstrekkelig skille tegn som ellers er nyttige for homoglyfangrep, samtidig som den antatte bruken av IDNs bevares. Av åpenbare grunner tillater ikke forlengelsesmotorer i nettlesere generelt at denne oppførselen kan implementeres som en utvidelse, noe som gjør det nødvendig å implementere som en funksjon i nettleseren selv.

Denne løsningen er imidlertid bare et båndhjelp til et problem som eksisterer på grunn av ICANNs unnlatelse av å generere et sammenhengende og universelt anvendelige sett med standarder for registrering av IDN-er for å forhindre denne typen misbruk. Fra et registerperspektiv er sannsynligvis den beste løsningen den fra .ca, som hindrer en annen registrant i å kjøpe en aksentert versjon av et eksisterende navn.

Oppdatering (29. juni 2018): EURid, operatøren av .eu-registeret, har gitt ut et varsel som indikerer at domener som bruker kyrilliske tegn vil bli slettet fra 1. juni 2019. Den samme organisasjonen krever at domenenavn med kyrilliske tegn skal brukes matchingen .ею TLD i stedet, som også kontrolleres av EURid. I følge organisasjonen er flyttingen en del av et krav som tvinger eiere av domenenavn til å matche skriptet til TLD med navnet på andre nivå for å unngå homoglyfangrep.

En rapport i The Register bemerket at dette er inkonsekvent, ettersom dette fortsatt tillater bruk av hvilken som helst bokstav i det greske alfabetet, så vel som aksenttegn fra flere europeiske språk, inkludert "tysk ü, rumensk ș og svensk å. "

Politiske spørsmål til side, dette er bra med tanke på å minimere phishing-angrep, men fortsatt utilstrekkelig for å skille karakterer. På gresk er omicron (ο) og i bestemte skrifter nu (ν) de nærmeste fyrstikkene til ASCII-tegn, selv om det finnes litt mer abstrakte treff også, i rekkefølge: εικηρτυωχγ ligner eiknptuwxy i en grad, med større varianser avhengig av skriftene som er involvert . Tegn med aksent er for mange til å nevne. Mens disse variantene eksisterer, jo lenger bortom angriperne går fra den tiltenkte karakteren, desto mer sannsynlig vil en løsepengeeffekt oppstå.

Som den er, er den mest inkluderende løsningen for å bevare den tiltenkte visningen av IDN-er og samtidig bevare sikkerheten for brukerne, å endre fargen på tegn som ikke er ASCII.

Mens praksisen med massesletting generelt er unormal for et register å delta i, sendte Europakommisjonen i mars en melding om at registranter av .eu-domenenavn i Storbritannia vil miste sin berettigelse til å holde .eu

* Løsning: Den første TechRepublic er skrevet med kyrilliske erstatningstegn.

Ukens beste nyhetsbrev

Redaktørene våre fremhever TechRepublic-artikler, gallerier og videoer som du absolutt ikke kan gå glipp av for å holde deg oppdatert om de siste IT-nyhetene, innovasjonene og tipsene. fredager

Registrer deg i dag

© Copyright 2021 | mobilegn.com