— Доброе утро, шеф! У нас новости, — сияющее лицо Риты казалось светится радостью.
— Что случилось, Рита? Уж больно ты радостная.
— Да, увидела весьма интересный метод проведения фишинговой атаки. Организовывается подставной сайт под именем известного домена. Внешне адрес неотличим. Работает приблизительно на половине известных браузеров.
— Ух ты! Но как?
— Атака основывается на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Для обхода существующей защиты (смешивания символов из разных кодировок) достаточно зарегистрировать домен, состоящий только из unicode-символов.
— Погоди, но ведь в таком случае отличить адреса внешне невозможно!
— Да в том и дело! Мы уже отправили описание найденной уязвимости производителям браузеров. Ждем исправления.
— Рита, ваш исследовательский отдел вполне оправдывает вложенные деньги! Вы меня порадовали. Спасибо!
Увы, такая атака не фантастика. Сегодня метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave. Патч для Chrome разрабатывается.
