あなたがURLをさっと見て、よく知られたブランド名を認識してクリックすると、認証情報を直接ハッカーに渡してしまう。
ラテン文字の「o」をギリシャ文字のオミクロンに置き換えるなどの、この小さな視覚的な誤りは、ホモグリフ攻撃の核となっている。
キリル文字、ギリシャ文字、アルメニア文字などの異なる言語スクリプトの視覚的に同一の文字をドメイン名、ファイル名、または電子メール表示名に置き換えることにより、攻撃者は人間の目と自動セキュリティフィルタの両方を簡単に欺くことができる。
ホモグラフ攻撃は、人間の知覚が微妙な文字の違いを検出できず、多くのセキュリティパイプラインがUnicodeを適切に正規化できないため、蔓延している。
攻撃者はラテン文字と外国文字を慎重に組み合わせた混合スクリプトドメインを頻繁に登録する。彼らは迅速に正規のTLS証明書を自動化された認証局を通じて確保し、これらの偽のサイトを完全に安全で本物のように見せる。
インフラの準備ができたら、攻撃者はこれらの偽造ドメインを標的とした認証情報の収集、マルバタイジング、さらにはサプライチェーンセキュリティを信頼されたソフトウェアリポジトリパッケージを模倣することで迂回するために使用する。
最新のキャンペーンは、金融決済ポータルと人気のあるSaaSログインページを大量に標的としており、ユーザーを視覚的に完璧なレプリカで騙している。
ホモグリフの脅威を軽減するには、基本的な表示文字列ホワイトリストを超えた対策が必要である。組織は、これらの洗練された視覚的な欺きを検出するために、厳密な技術的管理と堅牢なガバナンスを実装する必要がある。
電子メールゲートウェイとセキュアウェブプロキシは、Unicode文字をネイティブに正規化し、混合スクリプトドメインに自動的にフラグを付ける必要がある。疑わしいリンクに対して明確なPunycodeの警告を表示することは、ユーザーが機密データを入力する前にアラートを発するための重要なステップである。
セキュリティチームは、受動的なDNSデータと証明書透明ログをプロアクティブに監視して、特定のブランドを狙った新しく登録された類似ドメインを特定する必要がある。Quick HealとSeqriteが提供するレイヤード保護などは、最新の防御において重要な役割を果たしている。
これらの高度なエンタープライズセキュリティソリューションは、IDN悪用を検出し、悪意のある類似インフラをブロックし、フィッシングメールがユーザーの受信箱に到達する前にリアルタイムで疑わしいドメインパターンを分析するのに役立つ。
さらに、すべての企業サービス全体で強力な多要素認証(MFA)を実施することで、盗まれた認証情報の影響を大幅に削減できる。
脅威アクターがホモグリフ生成をますます自動化し、より説得力のある誘いを作成するためにAIを活用している中、企業は特にルックアライクドメインを備えた現実的なフィッシングシミュレーションを実行する必要がある。
前を見ると、ホモグリフの悪用は単純なメール誘いを超えて、クロスチャネル詐称に拡大していており、ルックアライクドメインをSlackやTeamsなどのチャットプラットフォームと組み合わせて信頼を向上させている。
最終的に、堅牢なUnicode検査、厳密な混合スクリプトブロッキング、およびプロアクティブな脅威監視を組み合わせることで、この非常に欺瞞的な技術のリスクを低いものに軽減できる。
翻訳元: https://cyberpress.org/homoglyph-attacks-spoof-websites/