Homoglyph-атаки: как поддельные символы обходят защиту

Атаки Homoglyph представляют собой заметную угрозу для Кибербезопасности: злоумышленники используют символы, визуально похожие друг на друга, но принадлежащие разным наборам знаков — латинице, кириллице и греческому алфавиту. За счет таких подмен они создают домены, имена файлов и отображаемые имена, которые выглядят убедительно как для пользователей, так и для автоматизированных средств защиты.

Эта техника особенно опасна тем, что она дешёвая в реализации, но при этом может давать высокий эффект. Homoglyph-атаки применяются в фишинге, impersonation бренда и распространении malware, а их успех во многом основан на доверии жертвы к внешне знакомому ресурсу.

Как работает схема

Суть атаки состоит в замене отдельных символов на их визуальные аналоги. В результате пользователь видит привычный адрес или имя, но фактически переходит на ресурс, контролируемый злоумышленником. Такой подход позволяет обманывать не только людей, но и некоторые системы автоматической проверки.

На практике homoglyph-атаки часто используются в следующих сценариях:

  • Phishing — создание доменов-двойников для кражи учетных данных;
  • Targeted phishing и сбор учетных записей — рассылка писем со ссылками на поддельные сайты;
  • Business Email Compromise (BEC) — манипуляции со счетами-фактурами и мошенническими платежами;
  • Malvertising — размещение вредоносных загрузок на доменах, визуально схожих с легитимными;
  • Brand impersonation — имитация известных компаний для повышения доверия к атаке.

Техническая основа: IDN и Punycode

Техническую базу таких атак составляют internationalized domain names (IDN) и кодировка Punycode. Эти механизмы позволяют использовать в доменных именах символы, отличные от ASCII, что открывает возможность для создания URL, внешне неотличимых от настоящих.

Именно за счет IDN злоумышленники регистрируют домены, которые выглядят аутентично и могут вводить пользователей в заблуждение. В сочетании с продуманным контентом для фишинга это делает атаку особенно убедительной.

Типичный сценарий атаки

Рабочий процесс homoglyph-атаки обычно включает несколько этапов:

  1. Reconnaissance — сбор названий брендов и других данных, которые могут быть использованы для имитации;
  2. Регистрация доменов с использованием homoglyph;
  3. Разработка phishing-контента под конкретную цель;
  4. Сбор учетных данных или распространение malware.

В ряде случаев злоумышленники также используют open-source intelligence, чтобы создать правдоподобные сценарии impersonation и повысить вероятность успеха.

Связь с MITRE ATT&CK

С точки зрения анализа угроз эти атаки хорошо укладываются в фреймворк MITRE ATT&CK. В отчете отмечается их связь прежде всего с тактиками первоначального доступа и кражи учетных данных.

Кроме того, злоумышленники применяют techniques, направленные на Masksing, чтобы затруднить обнаружение и анализ. За счет визуального сходства доменов и имени отправителя атака может выглядеть как обычная коммуникация от доверенного источника.

Как защищаться от homoglyph-атак

Противодействие таким угрозам требует сочетания технических и организационных мер. В отчете выделяются следующие защитные подходы:

  • нормализация ссылок в Unicode на mail gateways и web proxies;
  • использование DNS filtering для выявления newly observed IDN-доменов;
  • мониторинг certificate issuance для обнаружения сайтов-двойников;
  • brand monitoring для отслеживания подозрительных регистраций и имитаций;
  • phishing simulations, адаптированные под сценарии homoglyph, для повышения осведомленности пользователей.

Такие меры помогают не только выявлять угрозу на раннем этапе, но и усиливать готовность сотрудников к противодействию социальной инженерии.

Новая тенденция: автоматизация атак

Отдельно отмечается, что злоумышленники все чаще автоматизируют генерацию и регистрацию homoglyph-доменов. Это говорит о росте масштабируемости подобных операций и повышает требования к проактивной защите.

Организациям необходимо сохранять бдительность, усиливать контроль за доменной инфраструктурой и учитывать, что даже незначительные визуальные различия могут скрывать полноценную атаку.

Манипуляции с представлением символов наглядно показывают, как внимание к человеческому восприятию может быть использовано для серьезных нарушений безопасности.

В итоге homoglyph-атаки подтверждают, что современная киберугроза часто строится не только на технических уязвимостях, но и на способности злоумышленников эксплуатировать доверие и невнимательность пользователя.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: