Phish.AI выпустила браузерное расширение для защиты от омографических атак

Phish.AI

Команда проекта Phish.AI представила инструмент для Google Chrome, распознающий URL с нестандартными Unicode-символами и предупреждающий пользователя о возможной фишинговой атаке.

Работа расширения основана на системе компьютерного зрения в связке с ИИ. Оно проверяет URL сайта на совпадение с адресом оригинального ресурса с помощью инструкций сравнения.

Как работают омографические атаки?

Данный вид атак стал возможными благодаря тому, что Корпорация по управлению доменными именами и IP-адресами (ICANN) более десяти лет назад разрешила регистрацию международных доменных имен, использующих символы Unicode. Проблема в том, что некоторые из них визуально подобны стандартной латинице. Пользуясь этой лазейкой, злоумышленники регистрируют фишинговые сайты для сбора пользовательских данных и загрузки вредоносного ПО. Например, при беглом просмотре, адрес coịnbạse.com ничем не отличается от URL оригинального сайта.

Способы защиты в популярных браузерах

Для защиты от омографических атак некоторые браузеры используют Punycode — основанное на ASCII представление символов Unicode в специальной кодировке. Например, Microsoft Edge и Vivaldi покажут в адресной строке xn–conbse-zc8b7m.com вместо coịnbạse.com, сигнализируя о том, что с этим URL что-то не так.

Chrome и Firefox, напротив, не показывают Punycode-символы по умолчанию. Для Firefox необходимо включить функцию IDN_show_punycode:

Punycode Firefox support

В случае с Chrome ситуация иная: в настройках браузера попросту нет такого пункта. Он показывает Punycode-символы только в строке заголовка, но не адреса. Поэтому разработчики из Phish.AI создали расширение, которое блокирует доступ к подозрительным сайтам:

Warn Window example

Исходный код Phish.AI IDN Protect находится в репозитории проекта на GitHub, а расширение для Chrome можно установить в Chrome Web Store.

Напомним, что в начале 2018 года ученые из Университета Корнелла разработали нейронную сеть, способную распознавать фишинговые URL-адреса.

Источник: Bleeping Computer