Кириллический алфавит чаще других задействовали в атаках с использованием омографов с мая 2017 по апрель 2018 года. Об этом сообщает издание BleepingComputer со ссылкой на квартальное исследование ИБ-компании Farsight Security. К таким выводам ученые пришли после того, как в течение года сканировали Интернет в поисках интернационализированных доменных имен.

Атаки с помощью омографов — букв, похожих на символы других алфавитов — часто проводят фишеры, маскирующие названия поддельных сайтов под страницы известных компаний и брендов. Так, в сентябре эксперты обнаружили мошеннический домен, замаскированный под страницу корпорации Adobe. Сайт распространял бэкдор Beta Bot под видом новой версии Flash Player.

В рамках исследования специалисты Farsight Security нашли в кэшах DNS около 100 млн интернационализированных доменов. Из них они отсеяли те, чьи имена были похожи на названия 466 компаний из 11 узкоспециализированных отраслей экономики — от банковской до технологической. В оставшейся выборке эксперты нашли 36 тысяч доменов с омографами, пригодными для фишинговых атак. При этом на 91% из них размещались действующие сайты, что означает их использование в прошлом или возможность применения для будущих атак.

Примечательно, что в большинстве случаев омографы относились к одному алфавиту, а среди смешанных адресов лидером стала пара кириллица-латиница — на 106 подобных доменов пришлись только 22, сочетающих латиницу и греческий алфавит.

Распределение языковых пар в интернационализированных доменных именах, BleepingComputer

Преобладание адресов, составленных из знаков одной письменности, объясняется правилами «Корпорации по управлению доменными именами и IP-адресами» (ICANN). Они запрещают использование символов из двух и более алфавитов — как раз чтобы пресечь атаки через похожие буквы и знаки.

В июне этого года ИБ-эксперты нашли сразу два новых применения омографов в атаках. Первый стал переносом описанной выше схемы с персональных компьютеров на мобильные устройства и получил название SMiShing — производное от слов SMS и фишинг.

Второй, более изощренный, позволяет мошенникам обходить почтовые фильтры и рассылать письма с вредоносными вложениями. Это становится возможным благодаря использованию невидимых читателю символов, для которых установлен нулевой шрифт.

Категории: Аналитика, Мошенничество