جعل نشانی دامنه؛ روش شناسایی: تقریباً غیرممکن!

یک محقق چینی روش جدیدی برای اجرای حملات فیشینگ کشف کرده که شناسایی آن توسط کاربران با روش‌های معمول تقریباً غیرممکن است.

به گزارش شرکت مهندسی شبکه گستر، بر اساس تحقیقات انجام شده توسط این محقق، مهاجم می‌تواند با بهره‌جویی از یک آسیب‌پذیری در مرورگرهای معروفی نظیر Chrome و Firefox یک دامنه جعلی را با نام یک دامنه حقیقی شرکت‌های مجازی نظیر Apple و Google نمایش داده و حتی محتاط‌ترین کاربران را وادار به ورود اطلاعات محرمانه در صفحه جعلی کند.

تا پیش از این تصور بر این بود که توجه به عبارت درج شده در نوار نشانی مرورگر و وجود پودمان SSL در آن می‌تواند کاربر را از گزند تهدیدات فیشینگ حفظ کند. اما در این روش کشف شده توجه به نوار نشانی کمکی به کاربر نمی‌کند.

قبل از بررسی بیشتر بهتر است نگاهی به این لینک انداخته شود.

اگر مرورگر مورد استفاده در نوار نشانی عبارت apple.com را با پودمان SSL نشان دهد در آن صورت مرورگر شما به این حملات آسیب‌پذیر است.

نمونه‌ای دیگر نیز در اینجا قابل دسترس است که در آن نشانی سایت epic.com جعل شده است.

چند سال قبل مؤسسه ICANN تصویب کرد که در نامگذاری دامنه‌ها بتوان از نویسه‌های غیر ASCII استفاده کرد. همچنین در زمان ثبت دامنه از روشی موسوم به Punycode استفاده می‌شود تا نویسه‌های Unicode در قالب کدهای ASCII ثبت شوند. برای مثال در این روش نویسه چینی 短 به صورت xn—s7y ثبت می‌شود.

به گزارش شرکت مهندسی شبکه گستر، نویسه‌های متعددی وجود دارند که در زبان‌هایی نظیر یونانی، سیرلیک و ارمنی کاملاً مشابه نویسه‌های لاتین نوشته می‌شوند. برای مثال در استاندارد Unicode، نویسه سیریلیکی با شناسه U+0430 و نویسه لاتین با شناسه U+0041 هر دو، نویسه‌ای با شکل “a” را نمایش می‌دهند.

اکنون مشخص شده که مهاجم می‌تواند با ثبت دامنه‌ای برای مثال با نام xn-pple-43d.com سبب نمایش apple.com در نوار نشانی مرورگرهای آسیب‌پذیر شود.

بررسی‌ها نشان می‌دهد مرورگرهای زیر به این حملات آسیب‌پذیرند:

• Chrome
• Firefox
• Opera
• Opera Neon

اما به‌نظر می‌رسد مرورگرهای زیر نویسه‌های نوار نشانی را به‌صورت Punycode نمایش داده و آنها را به Unicode تبدیل نمی‌کنند:

• IE
• Edge
• Vivaldi
• Brave

این محقق گفته که وجود این آسیب‌پذیری را در اول بهمن ماه به شرکت‌های Google و Mozilla اطلاع داده است. Google این آسیب‌پذیری را در نسخه Canary 59 ترمیم کرده و قرار است که نسخه نهایی آن را طی روزهای آتی عرضه کند. اما به نظر می‌رسد که Mozilla هنوز به راه حل مشخصی نرسیده است. با این حال کاربران مرورگر این شرکت نیز می‌توانند با دنبال کردن مراحل زیر بخش آسیب‌پذیر را موقتاً حل کنند:

1. در نوار نشانی عبارت about:config درج شود.
2. در بخش جستجو، کلمه Punycode وارد شده و کلید Enter فشرده شود.
3. با انجام مراحل فوق، پارامتر titled: network.IDN_show_punycode نمایش داده می‌شود. با دو بار کلیک بر روی آن مقدار آن به False تغییر داده شود.

شایان ذکر است مشاهده گواهینامه سایت نیز می‌تواند کاربران متخصص را نسبت به وجود این حملات آگاه کند.