Homographic phishing
同型異義語を利用したフィッシング
キリル文字のаがラテン文字のaの代わりに使われているなど、人間には見分けのつかないURLをフィッシングに利用する
一般的な対策はpunycode
ただしすべてのドメインを変換してしまうと正当なドメインまで意味不明なものに見える可能性がある
UTS#39でセキュリティ問題を検出するガイドラインがある
https://www.unicode.org/reports/tr39/
https://github.com/basecamp/homographic_spoofing
37signals製のRuby gem
https://dev.37signals.com/homographic-spoofing/
spoofingの検出やpunycode変換ができる
code:ruby
HomographicSpoofing.sanitize_idn("www.basecаmp.com")
# => "www.xn--basecmp-6fg.com"
HomographicSpoofing.sanitize_idn("www.basecamp.com")
# => "www.basecamp.com"