Специалисты по информационной безопасности зафиксировали новый изощренный метод проведения фишинговых атак, при котором злоумышленники эксплуатируют особенности отображения символа «ん» из японской письменности хирагана. Данная техника позволяет создавать визуально обманчивые URL-адреса, которые практически неотличимы от легитимных доменов известных компаний.
Механизм работы омографических атак с использованием Unicode
Обнаруженная угроза относится к категории омографических атак, основанных на использовании омоглифов — графически идентичных или схожих символов с различным кодовым значением. В данном случае киберпреступники применяют символ «ん» (Unicode U+3093) из японской хираганы, который в определенных шрифтовых решениях может отображаться как комбинация «/n» или «/~».
Исследователь информационной безопасности JAMESWT первым привлек внимание профессионального сообщества к этой угрозе, продемонстрировав в социальной сети X конкретные примеры злоупотребления данным символом. Визуальное сходство позволяет мошенникам конструировать поддельные URL-адреса, которые воспринимаются пользователями как абсолютно подлинные.
Практические примеры реализации атак
В ходе анализа выявленной кампании специалисты обнаружили имитацию официальной корреспонденции от популярного сервиса бронирования Booking.com. Злоумышленники создали поддельное электронное сообщение, содержащее ссылку, которая визуально выглядела как https://admin.booking.com/hotel/hoteladmin/, однако фактически перенаправляла жертв на вредоносный ресурс https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/.
При отображении в адресной строке браузера символы «ん» создают убедительную иллюзию нахождения на официальном домене booking.com, тогда как реальным целевым доменом является www-account-booking.com. Остальное содержимое адресной строки представляет собой тщательно сконструированный поддомен, предназначенный для обмана пользователей.
Техническая схема компрометации
После успешного перехода по фишинговой ссылке жертвы попадают на страницу www-account-booking.com/c.php?a=0, где через CDN-сеть доставки контента инициируется загрузка вредоносного MSI-установщика. Данный файл служит первичным вектором атаки для последующего развертывания дополнительных зловредных компонентов, включая информационные похитители (инфостилеры) и программы удаленного администрирования.
Расширение географии атак
Аналогичные тактики были зафиксированы в атаках на пользователей финансовой платформы Intuit. В этом случае киберпреступники подменяли букву «I» в начале доменного имени на «L», создавая домены типа «Lntuit.com», которые при использовании определенных шрифтов практически неотличимы от оригинального «Intuit.com».
Методы защиты и рекомендации
Эксперты по кибербезопасности настоятельно рекомендуют пользователям применять превентивные меры защиты. Наведение курсора мыши на ссылку перед переходом позволяет предварительно просмотреть целевой URL-адрес во всплывающей подсказке или строке состояния браузера.
Дополнительно следует внимательно анализировать доменные имена в адресной строке браузера, обращая особое внимание на необычные символы или подозрительные комбинации букв. Однако важно понимать, что атаки с использованием специальных Unicode-символов могут значительно усложнить процесс идентификации поддельных ресурсов.
Развитие омографических атак с применением символов различных письменностей демонстрирует постоянную эволюцию методов социальной инженерии в киберпространстве. Повышение осведомленности пользователей о подобных угрозах и внедрение дополнительных технических средств защиты становятся критически важными элементами современной стратегии информационной безопасности.
