“0-Click” zaiflik: Punycode orqali elektron pochta hisoblarini qo‘lga kiritish xavfi

Axborot xavfsizligi mutaxassislari tomonidan aniqlangan yangi zaiflik internet foydalanuvchilari uchun jiddiy tahdid tug‘dirmoqda. Gap “0-Click Vulnerability” deb nomlangan zaiflik haqida ketmoqda. Bu hujum turi oddiy foydalanuvchidan hech qanday harakat yoki havolani bosishni talab qilmaydi. Ya’ni, hujum muvaffaqiyatli amalga oshishi uchun qurbon hech narsa qilmasa ham bo‘ladi.

Zaiflikning mohiyati

Mazkur muammo elektron pochta tizimlari va veb-ilovalarda xalqaro domen nomlari (IDN) va ularni ASCII formatga o‘tkazuvchi Punycode tizimidan foydalanishdagi tafovutlardan kelib chiqadi. Unicode belgilari turli tillardagi harflarni o‘z ichiga olgan bo‘lsa, Punycode ularni internet inshootlari tushunadigan standart ko‘rinishga keltiradi. Shu o‘rinda “kanonikalizatsiya nomuvofiqligi” (canonicalization mismatch) deb ataluvchi texnik farq yuzaga keladi.

Masalan, hujumchi “gmail.com” domenini vizual jihatdan o‘xshash, lekin boshqa kodlash tizimidagi belgilar bilan ro‘yxatdan o‘tkazishi mumkin. Oddiy ko‘z bilan qaraganda farq bilinmaydi: lotincha “o” o‘rniga kirillcha “о” yoki “m” o‘rniga “full-width m” ishlatiladi. Natijada foydalanuvchi uchun bu manzil mutlaqo bir xil ko‘rinadi, ammo tizim uni boshqa domen sifatida qabul qiladi.

Qanday ishlaydi?

Hujumchi qurbonning elektron manziliga o‘xshash, lekin o‘zi nazorat qiladigan manzilni yaratadi. So‘ng “parolni tiklash” yoki “magic link” orqali kirish so‘rovini yuboradi. Tizim old qismi (frontend) ushbu manzilni haqiqiy deb qabul qilib, so‘rovni tasdiqlaydi. Ammo pochta xizmati reset havolasini yuborishda domenni Punycode shakliga o‘giradi va uni hujumchining domeniga yo‘naltiradi. Natijada, hujumchi maxfiy havolani qo‘lga kiritib, qurbonning hisobini to‘liq nazoratiga oladi.

Bu jarayon davomida foydalanuvchi hech narsa bilmay qoladi. Hujumning “0-click” deb nomlanishiga sabab ham shunda: bu oddiy phishing yoki ijtimoiy muhandislikka o‘xshab, foydalanuvchini aldashni talab qilmaydi.

Xavfning ko‘lami

Elektron pochta ko‘pincha foydalanuvchining barcha boshqa xizmatlarga kirishidagi “asosiy kalit” hisoblanadi. Birgina email hisobining qo‘lga o‘tishi orqali ijtimoiy tarmoqlar, onlayn bank xizmatlari, ishchi platformalar va boshqa muhim tizimlar ham hujumchiga ochiq bo‘lib qolishi mumkin. Shu bois mutaxassislar bu zaiflikni “juda xavfli va jimjital” tahdid sifatida baholamoqda.

Qarshi choralar

Mutaxassislar ishlab chiquvchilarga quyidagi choralarni ko‘rishni qat’iy tavsiya etmoqda:

  1. Normalizatsiya – elektron pochta manzillarini barcha tizim komponentlarida bir xil shaklda qayta ishlash.
  2. Ishonchli kutubxonalar – Unicode belgilari va ularning “confusable” variantlarini aniqlay oladigan maxsus xavfsizlik kutubxonalaridan foydalanish.
  3. Ma’lumotlar bazasi tekshiruvi – email manzillarini tekshirishda vizual jihatdan o‘xshash belgilarni farqlash va yagona standartdan foydalanish.
  4. Foydalanuvchi xabardorligi – oddiy foydalanuvchilarga ham shubhali domenlar, ayniqsa “gmail.com” kabi mashhur xizmatlarning o‘xshatma variantlari haqida ogohlantirish.

“0-Click Vulnerability” — foydalanuvchidan xatolik yoki beparvolik talab qilmaydigan, tizimlarning o‘zidagi kamchiliklardan kelib chiqadigan tahdid. U internet xavfsizligining eng muhim bo‘g‘ini – elektron pochtaning ishonchliligini shubha ostiga qo‘ymoqda. Shu sababli, ishlab chiquvchilar ham, foydalanuvchilar ham bu kabi tahdidlarga befarq qaray olmasliklari lozim.

Bugungi kunda oddiy bir belgining ko‘rinishdagi farqi butun hisob-kitoblarimizni xavf ostiga qo‘yishi mumkin. Shuning uchun zamonaviy raqamli hayotda eng mayda texnik tafsilot ham katta ahamiyat kasb etadi.