นักวิจัยชาวจีนอย่าง Xudong Zheng ได้เขียนบล็อกพร้อมแสดงหน้าเว็บตัวอย่างที่แสดงถึงการหลอกชื่อ URL โดยใช้ทริคของโค้ดตัวอักษรแบบยูนิโค้ดมาใช้แทนตัวอักษรของเว็บของจริงเวลาจดโดเมน
ซึ่งทุกบราวเซอร์ในปัจจุบันต่างแสดงตัวอักษรยูนิโค้ดบนโดเมนเป็นตัวอักษรปกติ ทำให้มองเผินๆ แยกไม่ออกแน่นอนว่าอันไหนโดเมนจริง ไหนโดเมนปลอม
ตัวอย่างเว็บที่ Zheng แสดงให้ดูคือ โดเมนที่ลงทะเบียนเป็นยูนิโค้ดอย่าง “xn--pple-43d.com” จะถูกบราวเซอร์ทุกรุ่นแสดงเป็น “apple.com” เหมือนโดเมนเว็บยักษ์ใหญ่ด้านไอทีตัวจริงไม่ผิดเพี้ยน ทริกคือ มีโค้ดตัวอักษรของยูนิโค้ดที่แสดงตัวอักษรหน้าตาเดียวกัน หลายโค้ด เพื่อแทนหลายภาษา (เช่น ภาษาอังกฤษและฝรั่งเศสต่างก็มีตัว a เหมือนกัน) อย่างแอปเปิ้ลเจ้ากรรมนี้ ทาง Zheng ใช้ตัว Cyrillic ‘а’ (U+0430) แทน ASCII ‘a’ (U+0041) (ดูสิ พอพิมพ์ในเวิร์ด ตัวอักษรเปลี่ยนเหมือนอย่างกะคนละฟอนต์ แสดงว่าเป็น a คนละตัวจริงๆ แต่บนช่อง URL ของบราวเซอร์มันแยกความต่างไม่ได้)
อ่านข่าว : ผลวิจัยเผย ! การโจมตีทางไซเบอร์รุนแรงมากในกลุ่มธุรกิจด้าน Healthcare
ทั้งนี้ มีการนิยามการหลอกลวงด้วยการใช้โค้ดตัวอักษรต่างกันแต่รูปลักษณ์เหมือนกันนี้ว่า Homograph Attack ซึ่งบราวเซอร์ก็มีกลไกการป้องกันอยู่ระดับหนึ่ง ซึ่งใช้ปกป้องการโจมตีลักษณะแบบนี้ไม่ได้ทั้งหมด เช่น ถ้าแฮ็กเกอร์แค่แทนที่ตัวอักษร ASCII เป็นตัวอักษรจากภาษาอื่น บราวเซอร์ก็ไม่สามารถป้องกันการแสดงผลอะไรได้ เป็นต้น
แต่ปัจจุบันยังไม่พบการโจมตีนี้กับบราวเซอร์อย่าง Internet Explorer, Microsoft Edge, และ Safari แต่อย่างใด บั๊กนี้ถูกรายงานไปยัง Firefox และ Chrome ตั้งแต่ 20 มกราคม แต่ปัจจุบัน Firefox เวอร์ชั่นใหม่ก็ยังเจอปัญหานี้อยู่ นอกจากไปเซ็ตที่ about:config แล้วตั้งค่า network.IDN_show_punycode เป็น true.
ที่มา : https://fossbytes.com/unicode-phishing-attack-impossible-detect-browser
