W sieci reklamowej Google Ads eksperci firmy Malwarebytes odpowiedzialnej za rozwój programu antywirusowego o tej samej nazwie zgłosili nowy rodzaj ataku, mającego na celu przyciągnięcie naiwnych internautów do fałszywych zasobów, których adresy są jak najbardziej podobne na adresy stron internetowych działających w dobrej wierze twórców oprogramowania.
Reklama w wyszukiwarkach jest odpowiednio oznaczana, jednak wyglądem praktycznie nie różni się od organicznych wyników wyszukiwania – w efekcie nieuważny użytkownik ryzykuje, że kliknie na link w reklamie i trafi na stronę stworzoną przez oszustów lub dystrybutorów wirusów. Atakujący nie tylko tworzą kopie witryn internetowych twórców oprogramowania działających w dobrej wierze, ale także fałszują ich adresy URL: firma Malwarebytes zgłosiła, że umieszcza reklamy w sieci Google Ads, zastępując niektóre znaki bardzo podobnymi.
Aby to zrobić, używają Punycode, standardowej metody konwersji znaków Unicode na sekwencje ACE używane w adresach internetowych. Taktykę tę nazywa się „atakiem homograficznym” – w adresach wykorzystywane są znaki niebędące częścią podstawowego alfabetu łacińskiego: litery z cyrylicy, greckiego i arabskiego, a nawet znaki chińskie. Uderzającym tego przykładem była fałszywa reklama menedżera haseł KeePass.
Wcześniej napastnicy używali subdomen lub alternatywnych rozszerzeń domen, aby nakłonić użytkowników do kliknięcia tych linków, ale użycie Punycode może oszukać nawet uważnego i doświadczonego technicznie użytkownika. Jako przykład podano symbol „ḳ” (U+1E33), który różni się od zwykłego łacińskiego k małą kropką na dole – można go łatwo przeoczyć lub pomylić z plamką na monitorze.
Taktyka „ataku homograficznego” jest znana od dawna, ale po raz pierwszy została dostrzeżona w sieci reklamowej Google. Niestety prostego rozwiązania problemu nie ma – wystarczy zwrócić większą uwagę na reklamy w wyszukiwarce lub samodzielnie wpisać znane adresy, unikając literówek, które swoją drogą są również znaną bronią w rękach oszustów.
