Експерти з інформаційної безпеки виявили нову хвилю кіберзагроз, що використовує символи японської абетки хірагана для створення майже непомітних фішингових посилань. Зловмисники експлуатують особливості відображення символу «ん», який у деяких шрифтах може виглядати як звичайні латинські літери, що дозволяє їм маскувати шкідливі URL під легітимні домени великих компаній.
Принцип дії Unicode-атак через омогліфи
Виявлена загроза належить до класу омографічних атак, які базуються на використанні омогліфів — символів з різним кодуванням, але схожим візуальним відображенням. Кіберзлочинці використовують символ «ん» (Unicode U+3093) з японської хірагани, який у певних шрифтових рішеннях може відображатися як «/n» або «/~».
Дослідник кібербезпеки JAMESWT першим звернув увагу спільноти на цю проблему, опублікувавши в соціальній мережі X конкретні приклади зловживання даним символом. Візуальна схожість дозволяє шахраям створювати підроблені URL-адреси, які користувачі сприймають як цілком автентичні.
Реальні кейси атак на Booking.com
У процесі дослідження виявленої кампанії фахівці знайшли імітацію офіційного листування від популярного сервісу бронювання Booking.com. Кіберзлочинці створили фальшиве електронне повідомлення з посиланням, яке візуально нагадувало https://admin.booking.com/hotel/hoteladmin/, але насправді переадресовувало жертв на зловмисний ресурс https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/.
При відображенні в адресному рядку браузера символи «ん» створюють переконливу ілюзію перебування на офіційному домені booking.com, тоді як справжнім цільовим доменом є www-account-booking.com. Решта вмісту адресного рядка представляє ретельно сконструйований піддомен для обману користувачів.
Технічна схема компрометації системи
Після успішного переходу за фішинговим посиланням жертви потрапляють на сторінку www-account-booking.com/c.php?a=0, де через CDN-мережу доставки контенту ініціюється завантаження шкідливого MSI-інсталятора. Цей файл служить первинним вектором атаки для подальшого розгортання додаткових зловмисних компонентів, включаючи інформаційні викрадачі та програми віддаленого адміністрування.
Розширення географії кібератак
Подібні тактики були зафіксовані в атаках на користувачів фінансової платформи Intuit. У цьому випадку кіберзлочинці підміняли букву «I» на початку доменного імені на «L», створюючи домени типу «Lntuit.com», які при використанні певних шрифтів практично неможливо відрізнити від оригінального «Intuit.com».
Ефективні методи захисту від омографічних атак
Фахівці з кібербезпеки наполегливо рекомендують користувачам застосовувати превентивні заходи захисту. Наведення курсору миші на посилання перед переходом дозволяє попередньо переглянути цільовий URL-адрес у спливаючій підказці або рядку стану браузера.
Додатково слід ретельно аналізувати доменні імена в адресному рядку браузера, звертаючи особливу увагу на незвичайні символи або підозрілі комбінації літер. Проте важливо розуміти, що атаки з використанням спеціальних Unicode-символів можуть значно ускладнити процес ідентифікації підроблених ресурсів.
Розвиток омографічних атак із застосуванням символів різних писемностей демонструє постійну еволюцію методів соціальної інженерії в кіберпросторі. Підвищення обізнаності користувачів про подібні загрози та впровадження додаткових технічних засобів захисту стають критично важливими елементами сучасної стратегії інформаційної безпеки. Регулярне оновлення знань про нові типи кіберзагроз та дотримання базових правил цифрової гігієни залишаються найкращими інструментами захисту від складних фішингових схем.
