Хоча на дворі вже 2018 рік, омографіческіе атаки як і раніше залишаються досить популярним вектором атак серед кіберзлочинців. Наприклад, в березні 2018 року невідомі зловмисники спробували пограбувати користувачів відомої кріптовалютной біржі Binance. Справа в тому, що незадовго до інциденту злочинці провели серію успішних фішингових кампаній, в результаті яких зібрали облікові дані від акаунтів безлічі користувачів ресурсу. В основному для цього використовувалися підроблені домени, що імітують справжній домен Binance за допомогою Punycode.
У корені даної проблеми лежить саме використання Punycode - стандартизованого методу перетворення послідовностей Unicode-символів в ACE-послідовності, які складаються тільки з алфавітно-цифрових символів, як це дозволено в доменних іменах. Punycode був розроблений для однозначного перетворення доменних імен в послідовність ASCII-символів.
На жаль, у багатьох алфавітах світу є символи, які виглядають в точності так само, як їх латинський аналог (повний список можна побачити тут ). Цю особливість зловмисники і експлуатують для реалізації омографіческіх атак. Так, влітку 2017 року невідомі розгорнули кампанію , Спрямовану проти користувачів месенджера WhatsApp. Вони надсилали жертвам посилання, нібито провідні на офіційний сайт месенджера, тоді як насправді посилання вели на підроблений домен шһатѕарр.com.
У 2016 році таким же чином google.com перетворювали в ɢoogle.com, а в кінці квітня 2017 року китайський дослідник Сюдун Чжен (Xudong Zheng) попереджав , Що браузери Chrome, Firefox і Opera уразливі перед практично невиявний фішинговими атаками, за допомогою яких зловмисники можуть реєструвати підроблені домени, практично неможливо відрізнити від справжніх ресурсів Apple, Google, eBay, Amazon і багатьох інших компаній.
Тепер аналітики компанії Farsight Security вивчили безліч прикладів омографіческіх атак, з метою з'ясувати, як зловмисники діють найчастіше. Для проведення дослідження фахівці моніторили інтернет майже рік: з травня 2017 року по квітень 2018 року аналітики збирали статистику про всі доменах, в яких використовуються нелатинські символи.
В цілому сканування кеша DNS допомогло виявити 99 432 594 нелатинських домену (IDN, internationalized domain name). З них 35 989 нібито мали відношення до 466 великих міжнародних брендам з самих різних областей (від банківської сфери, до роздрібної торгівлі). На ділі ці домени належали злочинцям. У 91% випадків ці домени вели на сайти, які зловмисники намагалися видати за легітимні представництва різних компаній в мережі.
У більшості випадків для підробки доменних імен використовувалися символи тільки одного алфавіту. Це пов'язано з правилами ICANN, згідно з якими змішувати в імені домена різні алфавіти можна (цей захід як раз спрямована на протидію омографіческім атакам). Втім, аналіз Farsight Security виявив і деяку кількість доменних імен, в яких злочинці знехтували даними правилами і змішали алфавіти.
Найпопулярнішим методом для реалізації таких омографіческіх атак виявилося використання кириличних символів, а саме - змішання латиниці і кирилиці. Дослідники вважають, що така популярність кирилиці пояснюється просто: вона дуже схожа на латиницю. На другому місці за популярністю виявилося поєднання латинських і грецьких символів, а на третьому місці латинські, грецькі і кириличні символи разом узяті.
Фахівці відзначають, що використання символів інших алфавітів в поєднанні з латинськими дозволяє злочинцям істотно збільшити кількість потенційних доменних імен, що імітують той чи інший бренд. До того ж такі варіації омографіческіх атак набагато важче виявити.