Οι εγκληματίες του κυβερνοχώρου βρήκαν έναν έξυπνο τρόπο να ξεγελούν τους ανθρώπους ανταλλάσσοντας αληθινά γράμματα σε διευθύνσεις ιστοτόπων με χαρακτήρες που μοιάζουν σχεδόν ίδιοι. Αυτές ονομάζονται επιθέσεις ομογλυφικών και γίνονται ένα αυξανόμενο πρόβλημα στο διαδίκτυο.
Μια εναλλαγή χαρακτήρων – όπως η αντικατάσταση ενός λατινικού “o” με ένα ελληνικό όμικρον – μπορεί να ξεγελάσει τόσο τους χρήστες όσο και τα εργαλεία ασφαλείας ώστε να πιστεύουν ότι ένας ψεύτικος ιστότοπος είναι πραγματικός. Αυτό το είδος εξαπάτησης είναι εύκολο να αποσυρθεί, αλλά μπορεί να προκαλέσει σοβαρή ζημιά σε άτομα και οργανισμούς.
Οι επιθέσεις ομογλυφικών εκμεταλλεύονται το γεγονός ότι υπάρχουν πολλά σύνολα χαρακτήρων σε διαφορετικές γλώσσες, συμπεριλαμβανομένων των λατινικών, κυριλλικών, ελληνικών και αρμενικών.
Όταν αυτοί οι όμοιοι χαρακτήρες τοποθετούνται μέσα σε ένα όνομα τομέα, διεύθυνση email ή όνομα αρχείου, δημιουργούν μια ψευδή αίσθηση εμπιστοσύνης.
Τα θύματα που κάνουν κλικ σε τέτοιους συνδέσμους ενδέχεται να προσγειωθούν σε σελίδες ηλεκτρονικού ψαρέματος, να κατεβάσουν κακόβουλο λογισμικό ή να παραδώσουν τα διαπιστευτήρια σύνδεσής τους χωρίς να συνειδητοποιήσουν ότι κάτι δεν πάει καλά.
Η απειλή καλύπτει ένα ευρύ φάσμα τύπων επίθεσης, από το spear-phishing και την πλαστοπροσωπία της επωνυμίας έως τον παραβιασμό του email Business και τη χειραγώγηση της εφοδιαστικής αλυσίδας λογισμικού.
Οι ερευνητές της Seqrite εντόπισαν ότι αυτές οι επιθέσεις είναι ιδιαίτερα επικίνδυνα επειδή είναι χαμηλού κόστους και εξαιρετικά αποτελεσματικά.
Οι εισβολείς μπορούν να καταχωρίσουν όμοιους τομείς μέσω καταχωρητών που δέχονται διεθνοποιημένα ονόματα τομέα, να αποκτήσουν έγκυρα πιστοποιητικά TLS για αυτούς τους τομείς και στη συνέχεια να φιλοξενήσουν πειστικές σελίδες ηλεκτρονικού ψαρέματος που είναι σχεδόν αδύνατο να ξεχωρίσουν από την πραγματική με την πρώτη ματιά. Ο συνδυασμός μιας οικείας διεύθυνσης URL και ενός έγκυρου πιστοποιητικού ασφαλείας δίνει στα θύματα ελάχιστους λόγους για παύση.
Ο αντίκτυπος των επιθέσεων ομογλυφικών εκτείνεται σε όλους τους κλάδους. Οι καμπάνιες ηλεκτρονικού ψαρέματος που στοχεύουν οικονομικά έχουν χρησιμοποιήσει μεικτούς λατινικούς και κυριλλικούς χαρακτήρες για να μιμηθούν τις πύλες πληρωμών.
Οι σελίδες σύνδεσης SaaS έχουν κλωνοποιηθεί με χρήση διεθνοποιημένων ονομάτων τομέα που έχουν συνδυαστεί με πραγματικά πιστοποιητικά TLS για τη συλλογή διαπιστευτηρίων. Τα στελέχη έχουν πλαστογραφηθεί μέσω πλαστογράφησης εμφανιζόμενων ονομάτων σε πελάτες ηλεκτρονικού ταχυδρομείου, που οδηγεί σε δόλια αιτήματα πληρωμής.
Εν τω μεταξύ, οι πλαστές πύλες λήψης λογισμικού που φιλοξενούνται σε όμοιους τομείς έχουν ωθήσει ωφέλιμα φορτία κακόβουλου λογισμικού που μερικές φορές χάνουν ακόμη και τα εργαλεία sandbox επειδή η φήμη του τομέα φαίνεται καθαρή και νέα.
Τεχνική κατάδυση σε βάθος: Πώς το Unicode, τα IDN και το Punycode ενεργοποιούν την εξαπάτηση ομογλυφικών
Η κατανόηση του γιατί οι επιθέσεις με ομογλυφικά λειτουργούν τόσο καλά απαιτεί μια πιο προσεκτική ματιά στο πώς το Διαδίκτυο χειρίζεται τους διεθνείς χαρακτήρες. Το Domain Name System δημιουργήθηκε αρχικά για να υποστηρίζει μόνο χαρακτήρες ASCII.
Για να επιτραπούν ονόματα τομέα σε άλλες γλώσσες, δημιουργήθηκε ένα σύστημα που ονομάζεται διεθνοποιημένα ονόματα τομέα σε εφαρμογές, το οποίο χρησιμοποιεί κωδικοποίηση Punycode για τη μετατροπή χαρακτήρων που δεν είναι ASCII σε συμβολοσειρές συμβατές με ASCII με πρόθεμα “xn--“.
Για παράδειγμα, ένας τομέας που περιέχει κυριλλικούς χαρακτήρες αποθηκεύεται στο DNS ως ισοδύναμο Punycode, αλλά τα σύγχρονα προγράμματα περιήγησης συχνά εμφανίζουν την αρχική έκδοση Unicode στους χρήστες – κάνοντας τον ψεύτικο τομέα να φαίνεται απολύτως νόμιμος.
Το πρόβλημα βαθαίνει όταν οι επιτιθέμενοι συνδυάζουν χαρακτήρες από πολλά σενάρια σε έναν μόνο τομέα. Αυτοί οι τομείς μεικτού σεναρίου είναι ιδιαίτερα δύσκολοι επειδή πολλά εργαλεία ασφαλείας δεν τους επισημαίνουν ως ύποπτους.
Επιπλέον, οι φόρμες κανονικοποίησης Unicode, όπως το NFC, το NFD και το NFKC, επηρεάζουν τον τρόπο σύγκρισης των χαρακτήρων, πράγμα που σημαίνει ότι τα συστήματα ασφαλείας που παραλείπουν την κανονικοποίηση ενδέχεται να χάσουν τελείως την αντιστοίχιση ομογλυφικών.
Τα αμφίδρομα στοιχεία ελέγχου κειμένου, όπως ο χαρακτήρας Unicode U+202E, προσθέτουν άλλο ένα επίπεδο σύγχυσης αντιστρέφοντας τον τρόπο οπτικής απόδοσης του κειμένου, βοηθώντας περαιτέρω τους εισβολείς να συγκαλύπτουν ονόματα αρχείων και εμφανιζόμενα ονόματα.
Οι οργανισμοί θα πρέπει να υιοθετήσουν μια πολυεπίπεδη προσέγγιση για να αμυνθούν από αυτές τις επιθέσεις. Οι πύλες ηλεκτρονικού ταχυδρομείου και οι διακομιστής μεσολάβησης ιστού πρέπει να κανονικοποιούν το Unicode και να εμφανίζουν προειδοποιήσεις Punycode όταν εντοπίζονται ύποπτοι σύνδεσμοι.
Τα συστήματα φιλτραρίσματος DNS θα πρέπει να αντιμετωπίζουν τους νεοπαρατηρημένους τομείς με πρόθεμα xn-- ως υψηλού κινδύνου έως ότου αναθεωρηθούν σωστά. Η παρακολούθηση της διαφάνειας των πιστοποιητικών θα πρέπει να ειδοποιεί τις ομάδες ασφαλείας κάθε φορά που εκδίδονται πιστοποιητικά για τομείς που μοιάζουν οπτικά με αξιόπιστες επωνυμίες.
Από άποψη πολιτικής, οι οργανισμοί θα πρέπει να καταχωρούν κοινές παραλλαγές όμοιων τομέων των δικών τους εμπορικών ονομάτων και να επιβάλλουν σαφείς κανόνες έναντι τομέων μικτού σεναρίου στις επίσημες επικοινωνίες.
Τα προγράμματα παρακολούθησης επωνυμίας θα πρέπει να παρακολουθούν τις καταχωρίσεις τομέα και τις αναφορές κατάχρησης σε σχεδόν πραγματικό χρόνο. Οι προσομοιώσεις phishing που περιλαμβάνουν ρεαλιστικά σενάρια ομογλυφικών θα πρέπει να εκτελούνται τακτικά για να αυξηθεί η ευαισθητοποίηση των χρηστών.
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων πρέπει να επιβάλλεται σε όλες τις ευαίσθητες υπηρεσίες και θα πρέπει να απαιτείται δευτερεύουσα επαλήθευση για τυχόν χρηματοοικονομικά αιτήματα ή αιτήματα που σχετίζονται με διαπιστευτήρια.
Καθώς οι εισβολείς αυτοματοποιούν όλο και περισσότερο τη δημιουργία τομέα ομογλυφικών και επεκτείνουν αυτήν την τεχνική σε αλυσίδες εφοδιασμού λογισμικού και πλαστοπροσωπία μεταξύ καναλιών, η παραμονή προϋποθέτει συνεπή επαγρύπνηση, ισχυρούς τεχνικούς ελέγχους και καλά εκπαιδευμένους χρήστες που ξέρουν τι να αναζητήσουν πριν κάνουν κλικ σε οποιονδήποτε σύνδεσμο.
