Wat is een Homoglyph aanval?
Een homoglyph attack (ook wel een homograph attack of visuele spoofing attack genoemd) is een geavanceerde phishing techniek waarbij aanvallers domeinnamen registreren met behulp van personages die visueel lijken op legitieme personages. Bijvoorbeeld "rn" gebruiken om "m" na te bootsen (rnicrosoftcom vs microsoft.com) of Cyrillisch "а" (U+0430) vervangen door Latijns "a" (U+0061). Deze aanvallen benutten menselijke visuele perceptie beperkingen om gebruikers te misleiden in het bezoeken van kwaadaardige websites.
Veelvoorkomende Homoglyph Substituties
ASCII-gebaseerde instellingen
| Oorspronkelijk | Spoofed | Visuele effecten |
|---|---|---|
| m | r | "rn" lijkt op "m" |
| w | vv | "vv" lijkt op "w" |
| l (lowcase L) | 1 (één) | Bijna identiek |
| O | 0 | Vaak verward |
| cl | d | Gecombineerde gelijkenis |
Unicode/IDN Substituties
| Latijn | Cyrillisch | Unicodepunten |
|---|---|---|
| a | а | U+0061 vs U+0430 |
| e | е | U+0065 vs U+0435 |
| o | о | U+006F vs U+043E |
| p | р | U+0070 vs U+0440 |
| c | с | U+0063 vs U+0441 |
Hoe homoglyph aanvallen werken
Aanvalsmethode
1. Targetidentificatie: Aanvaller selecteert hoogwaardige merkdomein
2. Karakteranalyse: Vervangbare tekens identificeren
3. Domeinregistratie: Registreer visueel vergelijkbaar domein
4. Website klonen: Kopiëren legitieme website uiterlijk
5. Distributie: Stuur phishing e-mails met spoofed links
6. Credentieel oogsten: Gebruikerslogins vastleggen op nep-site
Real World Example
Legitimate: apple.com
Spoofed: аррӏе.com (uses Cyrillic а, р, ӏ, е)
app1e.com (uses number 1 for l)
appIe.com (uses capital I for l)
Technische verdedigingsmechanismen
Browserbeveiliging
Moderne browsers implementeren IDN homograph bescherming:
- Display punycode (xn--) in plaats van Unicode voor verdachte domeinen
- Waarschuwingen voor domeinnamen met gemengde scripts
- Blokkeer bekende homoglyph patronen
Punycode conversie
IDN-domeinen worden omgezet naar ASCII-compatibele codering:
Unicode: аррӏе.com
Punycode: xn--80ak6aa92e.com
DNS-niveau bescherming
- Sommige registers beperken IDN tekensets
- Confuus karakter blokkeren beleid
- Zelfde registratie eisen voor soortgelijke domeinen
Opsporing en preventie
Voor gebruikers
1. Examine URL's zorgvuldig: Hover over links voordat u klikt
2. Gebruik bladwijzers: Navigeren naar gevoelige sites via opgeslagen bladwijzers
3. Controleer certificaten: SSL certificaat organisatie namen verifiëren
4. Browserbeveiliging inschakelen: Browsers op de hoogte houden
5. Gebruik wachtwoordbeheerders: Ze zullen niet automatisch vullen op spoofed domeinen
Voor organisaties
1. Registreer defensieve domeinen: Gemeenschappelijke homoglyphvariaties verkrijgen
2. Uitvoering DMARC: E-mailauthenticatie voorkomt spoofed afzenderdomeinen
3. Monitor voor lookalikes: Brandbewakingsdiensten gebruiken
4. Opleiding van werknemers: Onderwijzend personeel over visuele spoofing risico's
5. Meld misbruik: Opnameverzoeken voor ontdekte vervalsingen indienen
Brand Protection Strategieën
Organisaties moeten proactief verdedigen tegen homoglyphaanvallen:
- Domeinportfolio-uitbreiding: Unicode varianten van merkdomeinen registreren
- Trademark monitoring: Let op overtreding van registraties
- Automatische detectie: Gereedschappen scannen voor visuele lookalikes
- Rechtszaak: UDRP-procedure voor domeinnamen die inbreuk maken op handelsmerken
- Klantencommunicatie: Leer klanten over officiële domeinen
Homoglyph-aanvallen vormen een aanhoudende veiligheidsdreiging die de kloof tussen menselijke visuele waarneming en technische karaktercodering benut. Uitgebreide verdediging vereist zowel technische controles als gebruikersbewustzijn.