Cos'è un attacco omoglifico?
Un attacco omoglifico (chiamato anche attacco omografico o attacco di spoofing visivo) è una tecnica di phishing sofisticata in cui gli aggressori registrano nomi di dominio utilizzando caratteri che assomigliano visivamente a caratteri legittimi. Ad esempio, usando "rn" per imitare "m" (rnicrosoftcom vs microsoft.com) o sostituendo "а" cirillico (U+0430) per il latino "a" (U+0061). Questi attacchi sfruttano le limitazioni della percezione visiva umana per ingannare gli utenti in visita siti web dannosi.
Sostituzioni omoglifiche comuni
ASCII-Based Substitutions
| Originale | Spoofed | Effetti visivi |
|---|---|---|
| m | rn | "rn" sembra "m" |
| # | V | "vv" assomiglia a "w" |
| l (caso inferiore L) | 1 (uno) | Quasi identica |
| O | 0 | Spesso confuso |
| # | # | Assomiglianza combinata |
Unicode/IDN Sostituzioni
| latino-americano | Cirillio | Punti Unicode |
|---|---|---|
| a | ? | U+0061 contro U+0430 |
| E | ? | U+0065 contro U+0435 |
| o | ? | U+006F contro U+043E |
| P | - Sì. | U+0070 contro U+0440 |
| C | QUI | U+0063 vs U+0441 |
Come funzionano gli attacchi omoglifici
Metodologia di attacco
1. Identificazione del registro Attacker seleziona dominio di marca ad alto valore
2. Analisi dei tassi: Identificare caratteri sostituibili
3. Registrazione principale: Registrare dominio visivamente simile
4. clonazione del sito: Copia l'aspetto del sito legittimo
5. Inviare email di phishing con link spoofed
6. Acquisire login utente sul sito falso
Real-World Esempio
Legitimate: apple.com
Spoofed: аррӏе.com (uses Cyrillic а, р, ӏ, е)
app1e.com (uses number 1 for l)
appIe.com (uses capital I for l)
Meccanismi di difesa tecnica
Protezione browser
I browser moderni implementano protezioni omografiche IDN:
- Visualizzazione di codice punycode (xn--) invece di Unicode per domini sospetti
- Mostra avvisi per nomi di dominio misti
- Bloccare modelli omoglifici noti
Punycode Conversion
I domini IDN sono convertiti in codifica compatibile con ASCII:
Unicode: аррӏе.com
Punycode: xn--80ak6aa92e.com
DNS-Level Protections
- Alcuni registri limitano i set di caratteri IDN
- Politiche di blocco dei caratteri confusibili
- Requisiti dello stesso livello per domini simili
Rilevazione e prevenzione
Per gli utenti
1. Esaminare gli URL con attenzione: Passare sopra i collegamenti prima di fare clic
2. Utilizzare segnalibri: Navigare in siti sensibili tramite segnalibri salvati
3. Verificare i certificati Verificare i nomi dell'organizzazione del certificato SSL
4. Abilitare le protezioni del browser: Tenere aggiornati i browser
5. Utilizzare password manager: Non si autofill su domini sperduti
Per le organizzazioni
1. Registri difensivi : Acquisire variazioni omoglifiche comuni
2. Implementare DMARC: L'autenticazione e-mail impedisce domini mittenti spoofed
3. Monitor per i lookalikes: Utilizzare i servizi di monitoraggio del marchio
4. Formazione dei dipendenti Educare il personale sui rischi di spoofing visivo
5. Notifica di abuso Inviare richieste di rimozione per falsi scoperti
Strategie di protezione del marchio
Le organizzazioni dovrebbero difendersi proattivamente dagli attacchi omoglifici:
- L'espansione del portafoglio principale: Registrare varianti Unicode di domini di marca
- Trademark monitoring: Guarda per le registrazioni di violazione
- Rilevamento automatico Strumenti di distribuzione scansione per lookalike visivi
- Azione legale: Procedura UDRP per domini di violazione del marchio
- Comunicazione clienti: Educare i clienti su domini ufficiali
Gli attacchi omoglifici rappresentano una persistente minaccia di sicurezza sfruttando il divario tra percezione visiva umana e codifica dei caratteri tecnici. La difesa completa richiede controlli tecnici e la consapevolezza dell'utente.