Атаки с использованием омоглифов: как похожие друг на друга символы используются для кибермошенничества
Содержание:
- Введение
- Что такое атака с использованием омоглифов?
- Практический омоглиф, который легко спутать.
- Практическая таблица путаницы с омоглифами
- Почему атаки с использованием омоглифов эффективны
- Типичные сценарии использования омоглифов и векторы атак
- Примеры из реальной жизни и модели проведения кампаний
- Подробный технический анализ — Unicode, IDN и Punycode
- Юникод и письменность
- IDN и Punycode
- Смешанные сценарии и путаница
- Последовательность действий при атаке — шаг за шагом
- Почему обнаружение может дать сбой — скрытые технические подводные камни
- Сопоставление MITRE ATT&CK (высокоуровневый)
- Меры обороны и оперативные рекомендации
- Политика и управление
- Технические средства контроля
- Операционная практика
- Контрольный список передовой практики
- Новые тенденции, за которыми стоит следить
- Заключение
Введение
Вы мельком смотрите на URL-адрес, видите знакомое название бренда и кликаете — только для того, чтобы передать свои учетные данные злоумышленнику. Эта крошечная визуальная ошибка (буква «о», которая на самом деле является греческим омикроном, строчная буква «l», замененная заглавной «I») — именно то, что используют атаки с использованием омоглифов. Омоглифы — это визуально похожие символы из разных наборов символов (латинский, кириллический, греческий, полноширинные формы и т. д.). Когда злоумышленники меняют местами символы в доменах, именах файлов, отображаемых именах сообщений или коде, люди — и часто автоматизированные системы защиты — оказываются обманутыми.
Атаки с использованием омоглифов — это недорогой и эффективный метод обмана. Они применяются для фишинга, подделки брендов, распространения вредоносного ПО, создания путаницы в цепочке поставок и обхода простых правил обнаружения. В этом блоге объясняются технические аспекты (Unicode, IDN, Punycode), способы использования омоглифов злоумышленниками, методы обнаружения и поиска, реальные примеры использования, сопоставление MITRE и практические методы защиты, включая использование многоуровневой защиты, такой как Quick Heal / Seqrite помочь.
Что такое атака с использованием омоглифов?
Омоглиф — это символ, похожий на другой символ. Например:
- Латинское a (U+0061) против кириллического а (U+0430)
- Латинское o (U+006F) против греческого ο (омикрон, U+03BF)
- Латинская буква I (заглавная i, U+0049) против строчной l (ell, U+006C) против кириллической І (U+0406)
Атака с использованием омоглифов заменяет один или несколько символов в идентификаторе (домене, имени файла, отображаемом имени электронной почты) визуально вводящими в заблуждение альтернативами, чтобы выдать себя за доверенный ресурс. При использовании в интернационализированных доменных именах (IDN) эти домены представляются в ASCII с помощью Punycode (префикс xn--), но часто отображаются в браузерах с использованием исходных символов Unicode, что придает URL-адресу аутентичный вид для пользователей.
Быстрый пример кода Punycode (концептуальный, анонимизированный):
Отображаемый домен: google-example[.]com (вместо латинской буквы «о» используется греческий «омикрон»).
Punycode (ASCII): xn--gogle-example-abc[.]com
Практический омоглиф, который легко спутать.
Атаки с использованием омоглифов основаны на визуально похожих символах из разных языковых систем, таких как латынь, кириллица и греческий. Эти похожие буквы могут обмануть пользователей, подделать доверенные домены и даже обойти некоторые автоматические фильтры.
Ниже приведена краткая справочная информация о наиболее часто используемых парах омоглифов в фишинговых и мошеннических кампаниях.
Практическая таблица путаницы с омоглифами
| визуальный | Законный характер | Двойник(и) | Сценарий | Часто используется в атаках |
| a | а (U+0061) | а (U+0430) | кириллица | «PayPal», «Facebook» |
| e | е (U+0065) | е (U+0435) | кириллица | «mіcrosoft», «tesla» |
| o | о (U+006F) | ο (U+03BF), о (U+043E) | Греческий / Кириллический | «Google», «Microsoft» |
| i | i (U+0069) | ı (U+0131), І (U+0406) | Турецкий / Кириллический | «инстаграм», «мікрофт» |
| l | л (U+006C) | I (U+0049) | латинский | «гугли», «микрофут» |
| c | c (U+0063) | с (U+0441) | кириллица | «Фейсбук», «Майкрософт» |
| p | п (U+0070) | р (U+0440) | кириллица | “PayPal”, “Dropbox” |
| s | с (U+0073) | ѕ (U+0455) | кириллица | «микроѕофт», «ѣлэк» |
| y | y (U+0079) | у (U+0443) | кириллица | «уаху», «рейпал» |
| x | x (U+0078) | х (U+0445) | кириллица | “хбокс”, “линхх” |
| d | d (U+0064) | ԁ (U+0501) | кириллица | «облачная вспышка» |
| h | h (U+0068) | һ (U+04BB) | кириллица | “һbo”, “һulu” |
| n | н (U+006E) | н (U+0578) | армянский | «лайкедин», «удивительный» |
| m | м (U+006D) | рн (последовательность) | Латинский (визуальный трюк) | «rnicrosoft» вместо «microsoft» |
| 0 | 0 (цифра ноль) | O (U+004F), о (U+043E) | Латинский / Кириллический | «Microsoft», «Google» |
Почему атаки с использованием омоглифов эффективны?
- Человеческое восприятие: Люди оценивают URL-адреса визуально и плохо замечают тонкие различия в символах.
- Несоответствие между дисплеем и объемом памяти: Системы могут хранить символы ASCII (Punycode), но отображать символы Unicode, что приводит к путанице.
- Пробелы в политике/списке разрешенных лиц: Добавление в список разрешенных адресов на основе видимых строк (без нормализации) может не учитывать похожие адреса на основе IDN.
- Доступность сертификата и хостинга: Злоумышленники могут получить TLS-сертификаты для похожих доменов (Let's Encrypt и аналогичные), что повышает их воспринимаемую легитимность.
- Недостатки автоматизации: Многие системы защиты не нормализуют Unicode и не выполняют обнаружение смешанных алфавитов, поэтому омографы проскальзывают незамеченными.
Типичные сценарии использования омоглифов и векторы атак
- Целевой фишинг и сбор учетных данных: Фишинговые электронные письма содержат ссылки на похожие домены, на которых размещены формы для сбора учетных данных.
- Компрометация деловой электронной почты (BEC): Мошенничество с выставлением счетов/платежами, когда отображаемое имя отправителя или домен в счете выглядят правильно, но содержат омоглифы.
- Распространение вредоносной рекламы/вредоносного ПО: Исполняемые файлы и обновления размещаются на доменах, похожих на те, что используются для обмана аналитиков и тестовых песочниц.
- Подмена имени пользователя/отображаемого имени: В Slack/Teams/электронной почте злоумышленники регистрируют учетные записи, в которых в отображаемом имени используются омоглифы, чтобы выдать себя за коллег.
- Путаница в цепочке поставок и среди разработчиков: Использование похожих символов в названиях пакетов, репозиториев или идентификаторах переменных может привести к тому, что разработчики будут загружать вредоносный код или запускать некорректные исполняемые файлы.
Примеры из реальной жизни и модели проведения кампаний.
Для обеспечения эффективности и ответственности ниже представлены анонимизированные модели поведения и данные, полученные в ходе публичной отчетности (без обвинений в адрес бренда):
- Фишинг, направленный на финансовые структуры: В рамках кампаний регистрируются домены, похожие на домены платежных порталов, содержащие смешанные латинские и кириллические символы, размещаются формы для ввода учетных данных и рассылаются последующие уведомления для повышения эффективности.
- Имитация SaaS-сервиса: Злоумышленники регистрировали IDN, визуально идентичные странице входа в популярную SaaS-платформу, чтобы получить учетные данные, часто используя в качестве привязки домен к действительному TLS-сертификату и убедительной HTML-форме входа.
- Имитация личности руководителя в BEC: Отображаемые имена в почтовых клиентах (или незначительные изменения домена) используются для запроса срочных переадресаций; злоумышленники рассчитывают на то, что пользователи не будут проверять фактический домен обратного пути.
- Распространение вредоносного ПО через сайты, имитирующие существующие: Поддельные порталы для загрузки (например, установочных файлов), размещенные на доменах с одинаковыми именами, используются для распространения вредоносных программ, которые не обнаруживаются при запуске в песочнице, поскольку репутация домена новая.
Подробный технический анализ — Unicode, IDN и Punycode.
Юникод и скрипты
Юникод — это всеобъемлющий набор символов, включающий множество письменностей (латинскую, кириллицу, греческий, армянский, иврит, арабский и др.). Многие символы разных письменностей выглядят похожими или идентичными при стандартных размерах шрифта.
IDN и Punycode
Система доменных имен (DNS) исторически поддерживала только ASCII. Чтобы разрешить использование имен, отличных от ASCII, IDNA (Internationalized Domain Names in Applications) использует Punycode — кодировку, совместимую с ASCII, с префиксом xn--. Например, пример (кириллица) становится xn--e1afmkfd.
Браузеры принимают решение о том, отображать ли символ Юникода или символ Пуникода, основываясь на эвристических алгоритмах. Если домен использует символы одной письменности, и эта письменность соответствует локали пользователя, браузеры часто отображают строку Юникода, что визуально обманчиво для тех, кто привык к латинским символам.
Смешанные сценарии и путаница
Злоумышленники часто используют домены со смешанным алфавитом, сочетая латинские буквы с несколькими кириллическими или греческими символами в местах, имеющих визуальное значение (основное название бренда, начало/конец метки домена).
Технические аспекты, имеющие значение для обнаружения:
- Формы нормализации (NFC, NFD, NFKC) изменяют каноническое разложение/композицию и влияют на сравнение строк.
- В таблицах символов, которые могут быть визуально спутаны (консорциум Unicode), перечислены такие символы; специалисты по защите данных могут использовать их для нечеткого сопоставления.
- Двунаправленные (BIDI) элементы управления могут вызывать обратное отображение текста (\u202E), что используется злоумышленниками для обфускации имен файлов или отображаемых имен.
Последовательность действий при атаке — шаг за шагом
- Разведка и брендингЗлоумышленник собирает названия брендов, распространенные поддомены и локализованные скрипты, используемые целевой системой.
- Подготовка домена: Зарегистрируйте домены-омоглифы через регистратора, принимающего IDN; при желании получите TLS-сертификаты.
- Хостинг и контент: Настройте фишинговые страницы, порталы для загрузки или схемы перенаправления; настройте шаблоны электронных писем так, чтобы они указывали на домен.
- Доставка: Отправляйте электронные письма, рекламные сообщения или сообщения в социальных сетях, содержащие ссылки на доменное имя, содержащее омоглифы; используйте типичные признаки доверия (логотипы, похожие формулировки).
- Сбор и использование: Собирайте учетные данные, распространяйте вредоносное ПО, монетизируйте средства путем мошенничества или продажи на рынках доступа.
- Упорство: Используйте собранные учетные данные для расширения доступа или зарегистрируйте больше похожих доменов для ротации кампаний.
Почему обнаружение может оказаться неудачным — скрытые технические подводные камни
- Отсутствует нормализация Unicode: Инструменты, сравнивающие строки напрямую без нормализации Unicode, пропускают совпадения.
- Различия в шрифтах/отображении: Некоторые шрифты подчеркивают различия (засечки), другие скрывают их (шрифты без засечек при малых размерах).
- Эвристические алгоритмы для смешанных сценариев: Не все фильтры помечают смешанные шрифты; некоторые проверки на легитимность гарантируют наличие только символов ASCII.
- Ложное чувство безопасности TLS: Действительный сертификат не является подтверждением личности; прозрачность в отношении сертификатов помогает, но не препятствует схемам регистрации.
Сопоставление MITRE ATT&CK (высокого уровня)
- Атаки с использованием омоглифов чаще всего связаны с фишинговыми атаками на начальном этапе доступа, когда похожие домены размещают страницы для сбора учетных данных.
- Злоумышленники используют информацию из открытых источников для создания правдоподобных целей для подделки личности и получения мошеннических доменов и TLS-сертификатов на этапе разработки ресурсов.
- Методы маскировки используются для обхода средств защиты, что в конечном итоге позволяет совершать кражу учетных данных, мошенничество или более масштабные противоправные действия.
| Этап | Техника | ID ATT&CK | релевантность омоглифа |
| Первоначальный доступ | Фишинг: Ссылка на фишинг | T1566.002 | Похожие домены размещают страницы учетных данных |
| разведывательный | Поиск открытых веб-сайтов/доменов | T1593 | OSINT используется для создания целеспецифических омоглифов. |
| Развитие ресурсов | Приобрести домен | T1583.001 | Зарегистрируйте домены-омглифы и TLS-сертификаты. |
| Уклонение от защиты | Маскировка / Обманчивое наименование | T1036 | Омоглифы имитируют имена, которым доверяют. |
| Доступ к учетным данным | Фишинг для получения учетных данных | Т1531 / Т1556 | Собранные учетные данные использованы для захвата. |
| Влияние | Данные зашифрованы для защиты от угроз и мошенничества. | Т1486 / Т1490 | Исходный вектор приводит к более крупным вторжениям. |
Меры обороны и оперативные рекомендации
Политика и управление
- Организациям следует поддерживать формальную стратегию защиты доменных имен, которая включает регистрацию похожих доменов для высокоценных брендов и услуг.
- В правилах использования IDN следует четко оговаривать запрет на использование доменов, содержащих разные скрипты, в официальных сообщениях.
Технический контроль
- Почтовые шлюзы и веб-прокси должны стандартизировать кодировку Unicode и четко отображать предупреждения Punycode для подозрительных ссылок.
- Системы фильтрации DNS должны рассматривать вновь обнаруженные домены xn-- как домены высокого риска до проведения проверки.
- Система мониторинга прозрачности сертификатов должна оповещать группы безопасности о выдаче сертификатов для похожих доменов.
Операционная практика
- Программы мониторинга бренда должны отслеживать регистрацию доменов и сообщения о нарушениях практически в режиме реального времени.
- В симуляциях фишинга следует включать реалистичные сценарии с использованием омоглифов для повышения осведомленности пользователей.
- В руководствах по реагированию на инциденты следует документировать рабочие процессы по удалению контента, включая эскалацию проблем регистратором и хостинг-провайдером.
Контрольный список передовой практики
- Внедрите многофакторную аутентификацию для всех сервисов, предоставляющих конфиденциальную информацию.
- Нормализуйте и проверьте все входящие URL-адреса, отображая Punycode там, где это необходимо.
- Отслеживайте прозрачность сертификатов и пассивные данные DNS для вновь зарегистрированных похожих доменов.
- Блокируйте или подвергайте строгой проверке домены, содержащие смешанные скрипты.
- Проведите симуляции фишинга, включающие в себя методы использования омоглифов.
- Зарегистрируйте защитные варианты доменных имен для важных брендов.
- Для запросов, касающихся финансовых вопросов или документов, требуется дополнительная проверка.
Новые тенденции, за которыми стоит следить
- Злоумышленники все чаще автоматизируют генерацию омоглифов и регистрацию доменов в больших масштабах.
- Фишинг с использованием искусственного интеллекта повышает достоверность приманок, а домены, содержащие омоглифы, служат основой для обмана.
- Злоупотребление омоглифами распространяется на цепочки поставок программного обеспечения посредством обманчивых названий пакетов и репозиториев.
- Имитация действий пользователей в разных каналах сочетает в себе использование омоглифов, чат-платформ и клонирование голоса для повышения уровня доверия и вероятности успеха.
Заключение
Атаки с использованием омоглифов демонстрируют, как незначительные визуальные манипуляции могут привести к серьезным сбоям в системе безопасности. Используя сложность кода Unicode и особенности восприятия человеком, злоумышленники обходят как пользователей, так и плохо стандартизированные средства защиты.
Для эффективного противодействия необходимы многоуровневые меры контроля: нормализация Unicode, сопоставление с кодировкой, обнаружение смешанных шрифтов, проактивный мониторинг доменов и строгие процессы проверки пользователей. В совокупности эти меры значительно повышают стоимость и сложность для злоумышленников, превращая простую технику обмана в гораздо менее эффективную угрозу.
Авторы
Автор: Матин Тадви
Соавтор: Нирадж Макасаре
