1 คะแนน โดย GN⁺ 2023-10-20 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • อาศัยพฤติกรรมที่ผู้ใช้มักเชื่อถือโฆษณาค้นหาและเว็บไซต์ทางการ โฆษณา Google ที่ปลอมเป็น Keepass จึงพาไปยังเว็บไซต์ปลอมที่หลอกได้แม้แต่ผู้ใช้ที่คุ้นเคยกับความปลอดภัย
  • หลังคลิก แถบที่อยู่จะแสดงเหมือนเป็น ķeepass[.]info แต่โดเมนจริงคือ xn--eepass-vbb[.]info ที่เข้ารหัสด้วย punycode และเผยแพร่มัลแวร์ FakeBat
  • โฆษณาดังกล่าวแสดงตั้งแต่วันเสาร์ถึงวันพุธ และผู้ลงโฆษณาถูกระบุว่าเป็น Digital Eagle ซึ่ง Google ได้ยืนยันตัวตนแล้ว
  • การใช้โฆษณา Google, URL ที่ดูเหมือนปกติ และ ใบรับรอง TLS ที่ถูกต้องร่วมกัน ทำให้การดูเฉพาะแถบที่อยู่ไม่เพียงพอที่จะตัดสินว่าเป็นเว็บแอบอ้างหรือไม่
  • เบราว์เซอร์หลักทั้ง 5 ตัวเมื่อลองป้อน ķeepass[.]info ต่างพาไปยังเว็บไซต์แอบอ้าง ดังนั้นหากสงสัยควรเปิดแท็บใหม่แล้วพิมพ์ URL เอง หรือดูเจ้าของใบรับรอง TLS

การผสานกันของโฆษณา Google กับเว็บปลอมที่แอบอ้างเป็น Keepass

  • มีการแสดง โฆษณาอันตรายที่ดูเหมือนโฆษณา Keepass บน Google
  • โฆษณาปลอมตัวเป็นการโปรโมต Keepass ตัวจัดการรหัสผ่านโอเพนซอร์ส
  • ผู้ใช้อาจเชื่อถือได้ง่ายขึ้นเพราะเป็นโฆษณา Google และเป็นที่ทราบกันว่า Google ตรวจสอบโฆษณา
  • เมื่อคลิก แถบที่อยู่จะแสดง ķeepass[.]info ซึ่งดูเหมือนเว็บไซต์ Keepass ของจริง
  • เว็บไซต์ Keepass ทางการจริงคือ keepass.info

โดเมนคล้ายของจริงที่สร้างด้วย punycode

  • ķeepass[.]info ที่เห็นบนแถบที่อยู่ แท้จริงแล้วเป็นรูปแบบเข้ารหัสที่แทน xn--eepass-vbb[.]info
  • เว็บไซต์นี้เผยแพร่ตระกูลมัลแวร์ที่ถูกติดตามในชื่อ FakeBat
  • กลอุบายนี้ใช้วิธีเข้ารหัสแบบ punycode
    • punycode ช่วยให้แสดงอักขระ Unicode ในรูปข้อความ ASCII มาตรฐานได้
    • ในกรณีนี้ใช้อักขระที่มีเครื่องหมายคล้ายจุลภาคเล็ก ๆ อยู่ใต้ตัว k
  • อีกทั้งยังมี ใบรับรอง TLS ที่ถูกต้อง ทำให้ดูเหมือนเว็บไซต์ปกติได้ง่ายหากดูแค่แถบที่อยู่

ข้อมูลความโปร่งใสของโฆษณาและการดำเนินการของ Google

  • Google Ad Transparency Center แสดงว่าโฆษณาดังกล่าวทำงานตั้งแต่วันเสาร์ถึงวันพุธ
  • ผู้ที่จ่ายค่าโฆษณาปรากฏเป็นองค์กรชื่อ Digital Eagle
  • ในหน้าความโปร่งใส Digital Eagle ถูกระบุว่าเป็นผู้ลงโฆษณาที่ Google ยืนยันตัวตนแล้ว
  • ตัวแทนของ Google ระบุในอีเมลหลังการเผยแพร่ว่า บริษัทได้ลบโฆษณาดังกล่าวตามข้อกำหนดของบริษัทแล้ว

การวิเคราะห์ของ Malwarebytes

  • Jérôme Segura หัวหน้าฝ่ายข่าวกรองภัยคุกคามของ Malwarebytes สรุปว่าเป็นโครงสร้างที่หลอกผู้ใช้สองชั้น
    • ชั้นแรก ผู้ใช้ถูกหลอกด้วยโฆษณา Google ที่ดูปกติอย่างสมบูรณ์
    • ต่อมา ผู้ใช้ถูกหลอกอีกครั้งด้วยโดเมนเลียนแบบที่ดูเหมือนเว็บไซต์ถูกกฎหมาย
  • Malwarebytes เปิดเผยกลโกงนี้ในโพสต์เมื่อวันพุธ
  • เว็บไซต์ที่ดูเหมือนมี URL แทบเหมือนกับโฆษณา Google ถูกนำมาผสานกัน สร้างผลลวงว่าเป็นของจริงอย่างรุนแรง

ตัวอย่างมัลแวร์ที่ใช้ punycode ในอดีต

  • กลโกงมัลแวร์ที่ใช้ punycode ในทางที่ผิดมีมานานแล้ว
  • เมื่อ 2 ปีก่อน มิจฉาชีพใช้โฆษณา Google ล่อผู้ใช้ไปยังเว็บไซต์ที่ดูเกือบเหมือน brave.com
    • เว็บไซต์ดังกล่าวแจกจ่ายเบราว์เซอร์เวอร์ชันอันตรายปลอม
  • ในปี 2017 นักพัฒนาเว็บแอปพลิเคชันรายหนึ่งสร้างเว็บไซต์พิสูจน์แนวคิดที่ดูเหมือน apple.com ทำให้เทคนิค punycode ได้รับความสนใจอย่างกว้างขวาง

วิธีที่ผู้ใช้ตรวจสอบได้

  • ไม่มีวิธีที่แน่นอนในการตรวจจับโฆษณา Google อันตรายหรือ URL ที่เข้ารหัสด้วย punycode
  • เมื่อลองป้อน ķeepass[.]info ในเบราว์เซอร์หลักทั้ง 5 ตัว ทั้งหมดจะพาไปยังเว็บไซต์แอบอ้าง
  • หากสงสัย สามารถเปิดแท็บเบราว์เซอร์ใหม่แล้วพิมพ์ URL ด้วยตนเองได้
  • เมื่อ URL ยาว การพิมพ์เองอาจไม่ใช่วิธีที่ทำได้จริงเสมอไป
  • อีกวิธีคือการตรวจสอบ ใบรับรอง TLS เพื่อดูว่าเว็บไซต์ที่แสดงในแถบที่อยู่ตรงกับเจ้าของใบรับรองหรือไม่

1 ความคิดเห็น

 
GN⁺ 2023-10-20
ความคิดเห็นบน Hacker News
  • แน่นอนว่า Google คงตรวจสอบตัวตนของ Digital Eagle แล้ว การยืนยันตัวตนของ Google เป็นแบบรับเงิน และถ้าจ่ายเงินก็ถือว่าผ่านการตรวจสอบแล้ว
    ประโยคที่ว่า “ตัวแทนของ Google ไม่ได้ตอบอีเมลทันที” ก็น่าสงสัยเหมือนกัน ไม่รู้ด้วยซ้ำว่ามีคนจริง ๆ ที่ Google ตอบอีเมลหรือไม่ และผมไม่เคยเห็นการตอบกลับมานานกว่า 10 ปีแล้ว ต่อให้รายงานฟิชชิงและสแปม ก็ยังสงสัยว่ามีอะไรถูกจัดการจริง ๆ หรือเปล่า
    พูดตรง ๆ ตอนนี้โลกควรเลิกพึ่ง Google ได้แล้ว อย่างน้อย 2 ปีกว่า ๆ มานี้แทบใช้เป็นเสิร์ชเอนจินอย่างปลอดภัยไม่ได้
    หลังจากลูกค้าถูกส่งไปยังเว็บฟิชชิงผ่านโฆษณา Google ผมจึงตัดสินใจบล็อกโดเมนด้านล่างในทุกเครือข่ายที่ดูแลอยู่
    googlesyndication.com
    googleadservices.com
    googletagservices.com
    googletagmanager.com
    google-analytics.com

    • ถ้าพูดให้ตรงกว่านั้น สำหรับผม ความสามารถในการค้นหา ของ Google เริ่มตกลงมาตั้งแต่ช่วงปลายทศวรรษ 2000 ถึงต้นทศวรรษ 2010 เมื่อก่อนใส่ทั้งประโยคตามเดิมก็ยังหาเจอ แต่ตอนนี้แม้แต่การค้นหาด้วยเครื่องหมายคำพูดก็ยังทำงานไม่ถูกต้อง
      จุดแข็งของ Google ค่อย ๆ พังลงมาตลอดหลายปี Windows ก็คล้ายกัน คือการตลาดและโฆษณากำลังทำลายผลิตภัณฑ์ที่เดิมก็พอใช้ได้
    • สำหรับคำถามที่ว่า “ที่ Google มีคนตอบอีเมลจริง ๆ ไหม?” นั้น Google มุ่งเน้นสิ่งที่ ขยายสเกลได้ มาโดยตลอด การให้คนตอบโทรศัพท์หรืออีเมลขยายสเกลไม่ได้ จึงไม่มีฝ่ายซัพพอร์ตลูกค้าสำหรับผู้ใช้
      เหตุผลที่โฆษณาแบบนี้ผ่านเข้ามาได้ก็ดูคล้ายกัน น่าจะพึ่งพาการรายงานแบบหมู่จำนวนมาก และลิงก์ “รายงานปัญหา” น่าจะเป็นหนึ่งในกลไกหลักในการคัดกรองโฆษณาไม่ดีออกไป หากมีโฆษณาหลุดเข้ามามากขึ้น ก็อาจเป็นสัญญาณว่ามีคนยอมเสียเวลารายงานน้อยเกินไป จนสมดุลของวิธีรายงานแบบหมู่กำลังพังลง
    • ในปี 2007 ผมเคยโพสต์ข้อความที่ระบุตัวตนผมได้เป็นการส่วนตัวลงบนเว็บบอร์ด ลบออกจากฟอรัมแล้ว แต่ยังเหลืออยู่ในสรุปผลการค้นหาของ Google พอส่งอีเมลไปขอให้ Google ลบ ก็ลบให้จริง ๆ และยังมีคนตอบกลับมาว่า “done” ด้วย
      มันเป็นคนละยุคจริง ๆ
    • ปกติผมมักเป็นคนออกหน้าวิจารณ์ Google แต่ถ้าลองรายงาน ฟิชชิง ไปยัง Google จำนวนมาก อย่างน้อยเว็บฟิชชิงที่โฮสต์อยู่กับ Google ก็มักถูกปิดค่อนข้างเร็ว ผมไม่เคยได้รับการตอบกลับเลย และคิดว่าทั้งหมดคงเป็นระบบอัตโนมัติ แต่ก็ยังดีกว่าผู้ให้บริการโฮสติ้งรายอื่นมาก
      ถ้ารายงานเว็บไซต์อันตรายไปที่ namecheap บางครั้งเว็บยังอยู่ต่อได้เป็นเดือน ๆ พวกเขาก็แย่เหมือนกัน แต่ในการจัดการรายงานการใช้งานในทางที่ผิด ยังมีอีกหลายที่ที่แย่กว่านั้นมาก Google เองก็ทำให้ดีกว่านี้ได้ แต่ในความเป็นจริงถือว่าค่อนข้างโอเค
      อย่างไรก็ตาม กรณีนี้ก็เป็นอีกเหตุผลหนึ่งที่ทุกคนควรบล็อกโฆษณา การบล็อกโฆษณาทำให้ทุกคนปลอดภัยขึ้น
    • สงสัยว่ามีใครเคยเจอเว็บไซต์ที่หยุดทำงานเมื่อบล็อกแบบนี้บ้างไหม
  • ควรให้ ตัวกลางโฆษณา รับผิดชอบบางส่วนต่อโฆษณาหลอกลวง หรือบังคับให้โฆษณาระบุตัวตนจริงอย่างเข้มงวด หรือทำทั้งสองอย่าง ผมไม่ชอบการบังคับให้สิ่งพิมพ์ทั่วไปต้องมี impressum แบบเยอรมัน แต่โฆษณานั้นต่างออกไป
    เพราะโฆษณาแทรกเข้ามาในเว็บไซต์อื่นอย่างรุกล้ำในแบบที่ผู้ใช้ควบคุมไม่ได้ ถ้าไม่นับการบล็อกโฆษณาทั้งหมด ก็แทบไม่มีทางเลือก
    เมื่อคลิกที่มุมของโฆษณา ควรตรวจสอบหมายเลขบริษัทและที่อยู่สถานประกอบการของผู้รับผิดชอบได้ โฆษณา “จากต่างประเทศ” ที่มาจากประเทศอื่นควรถูกตรวจสอบเข้มงวดกว่าเดิม เพราะถ้าเป็นการหลอกลวง ต่อให้ไม่ใช่นิรนาม การขอเยียวยาก็ยังยากกว่ามาก

  • ตามบทความ ķeepass[.]info แม้จะแสดงในแถบที่อยู่อย่างนั้น แต่จริง ๆ แล้วเป็นรูปแบบเข้ารหัสที่แทน xn--eepass-vbb[.]info และกำลังแพร่กระจายมัลแวร์ FakeBat เมื่อรวมเว็บไซต์ที่มี URL แทบจะเหมือนกับโฆษณา Google เข้าไปด้วย จึงกลายเป็นการหลอกลวงที่เกือบสมบูรณ์แบบ
    ในปี 2017 เคยบอกว่า Google Chrome 59 ได้แก้ไข การโจมตีฟิชชิงด้วย Punycode แล้ว ตัวอย่าง: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
    บางทีอาชญากรที่ดื้อดึงอาจวิเคราะห์ซอร์สโค้ดของ Chromium ที่ตรวจสอบ Punycode แล้วพบช่องโหว่ที่ยอมให้ใช้ ķ แทน k ก็ได้
    https://www.xn--80ak6aa92e.com/ --> “аррӏе.com” ปลอมจะแสดงคำเตือนฟิชชิง
    https://xn--eepass-vbb.info/ --> “ķeepass.info” ปลอมไม่แสดงคำเตือน

    • ใน กฎโดเมนสากล ของ Chrome ที่เกี่ยวข้อง [1] ดูเหมือนหัวใจสำคัญจะอยู่ที่การตรวจจับ “อักขระคล้ายกันข้ามระบบอักษร” และ “อักขระคล้ายกันทั้งระบบอักษร”
      ķ(U+0137) เป็นอักษรละติน [2] ดังนั้น “ķeepass.info” น่าจะไม่โดนการตรวจสอบอักขระคล้ายกันแบบข้ามระบบอักษร
      ในรายการไกลฟ์ “อักขระคล้ายกันทั้งระบบอักษร” [3] ก็ไม่เห็น ķ เช่นกัน ควรใส่ไว้ในนี้ไหม? ในส่วนอักษรกรีกของไฟล์นั้นมีคอมเมนต์ทำนองว่า “ให้เพิกเฉยต่อรูปแปรอย่าง ά, έ, ή, ί” จึงอาจมีกฎโดยทั่วไปว่าอักขระที่มีเครื่องหมายกำกับเสียงไม่ถือเป็นอักขระคล้ายกัน
      ถ้าเป็นอย่างนั้นก็พอเข้าใจได้อยู่บ้าง เช่น ถ้าชื่อโดเมนที่มี é ถูกแสดงเป็นรูปแบบ Punycode ผู้ใช้ชาวฝรั่งเศสคงผิดหวังไม่น้อย
      [1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
      [2] https://www.compart.com/en/unicode/U+0137
      [3] https://source.chromium.org/chromium/chromium/src/+/main:com...
    • “การโจมตี Punycode” ครั้งแรก ๆ ใช้อักขระอย่างซีริลลิกที่แยกจากตัวอักษร “จริง” แทบไม่ออก บางทีคงตั้งสมมติฐานไว้ว่าผู้ใช้จะสังเกตเห็นและหลีกเลี่ยงอักขระที่มีเครื่องหมายกำกับเสียงได้ ถึงแม้จะแยกจากฝุ่นบนหน้าจอได้ยากก็ตาม
      สุดท้ายแล้วเราคงไม่เข้า “göogle.com” กันอยู่ดีไม่ใช่หรือ?
  • ขณะที่ Google ทำสงครามกับ ตัวบล็อกโฆษณา บน YouTube ก็ยังแสดงให้เห็นอีกครั้งว่าเราไม่สามารถไว้วางใจให้พวกเขารับผิดชอบเรื่องการแสดงโฆษณาที่ปลอดภัยได้เลย
    แถมยังเอาวิดีโอสงครามมาแสดงเป็นโฆษณาให้เด็กเล็กดูด้วย

    • ผมรายงานโฆษณาที่ไม่เหมาะสม หลอกลวง หรือผิดกฎหมายอย่างโจ่งแจ้งอยู่เรื่อย ๆ แต่โดยปกติภายใน 1–2 สัปดาห์มันก็กลับมาอีก หรือไม่ก็ไม่ได้ถูกลบตั้งแต่แรกด้วยซ้ำ
      ที่ชอบเป็นพิเศษคือโฆษณาที่ชาร์จทรงก้อนอิฐโง่ ๆ ที่อ้างว่า “จัดเรียงข้อมูลในโทรศัพท์ให้ได้อย่างวิเศษ” กับโฆษณาปืนพก Micro Ghost
    • ขณะเดียวกันกลับห้ามนักข่าวใช้ภาพสงครามโดยไม่เกี่ยวกับบริบท
    • เด็กอายุเจ็ดขวบเห็น โฆษณาอุปกรณ์โกนหนวด รวมถึงมีดโกนขึ้นซ้ำ ๆ แน่นอนว่า Google คงรู้ว่าพ่อไว้หนวดเคราดก แต่ตัดเรื่องมุกออกไป ผมไม่อยากให้เด็กสนใจใบมีด เลยบล็อกโฆษณาทั้งบ้าน
    • ถ้าจะให้แสดงโฆษณาที่ปลอดภัย ก็หมายความว่าต้องมีใครสักคนตรวจทานโฆษณา อาคารที่ Google ให้คนมานั่งดูโฆษณา YouTube คงต้องมีตาข่ายแบบ Foxconn
  • คิดว่าตัวเองค่อนข้างใส่ใจเรื่องความปลอดภัย แต่ไม่แน่ใจว่าจะสังเกตเห็นเรื่องนี้ไหม นี่เป็นอีกเหตุผลหนึ่งที่ควรใช้ uBO แบบไม่ต้องเสียใจทีหลัง

    • ตอนเห็นภาพหน้าจอ สิ่งเดียวที่คิดคือ “ต้องเช็ดฝุ่นบนจอหน่อยแล้ว” ถ้าไม่มี uBO คงโดนหลอก 100%
    • uBlock Origin ดีจริง แต่ไม่รู้ว่ามันเกี่ยวอะไรกับ การโจมตีเลียนแบบโดเมนสากล ในสภาพแวดล้อมของผม มันกันเรื่องนี้ไม่ได้
    • uBO คืออะไร?
  • “บริษัทระบุว่าเมื่อมีการรายงานโฆษณาหลอกลวง จะลบออกทันทีโดยเร็วที่สุดเท่าที่ทำได้”
    ถ้าอยากเป็นส่วนหนึ่งของทางแก้ ก็คงตรวจสอบก่อนที่โฆษณาจะเผยแพร่แล้ว แต่เรื่องนั้นขยายสเกลไม่ได้ ผู้คนจึงถูกหลอก สังคมได้รับความเสียหาย และ Google ก็ทำเงินได้มากจนรับแทบไม่ไหว ถือว่าเป็นดีลที่ค่อนข้างยุติธรรมหรือเปล่า...?
    อย่างที่หลายคนพูดกัน การบล็อกโฆษณาบนอินเทอร์เน็ต เป็นส่วนหนึ่งของการใช้อินเทอร์เน็ตอย่างมีสุขภาวะและปลอดภัย

    • เส้นแบ่งมันละเอียดอ่อนอยู่เหมือนกัน ถ้า Google เริ่มคัดกรองโฆษณาล่วงหน้า แล้วไปบล็อกแม้แต่โฆษณาที่ค่อนข้างถูกต้องชอบธรรม ก็จะมีบทความเกี่ยวกับเรื่องนั้นอีก
      การมอดเดอเรตเป็นปัญหาที่แก้ยาก เราต้องการความสะดวกสำหรับสิ่งที่ถูกต้อง และต้องการการบล็อกที่เข้มงวดสำหรับสิ่งที่น่าสงสัยแม้เพียงเล็กน้อย สุดท้ายก็ต้องมีบางอย่างหลุดไปบ้าง
      ประเด็นสำคัญตรงนี้คือ นี่เป็นกรณียกเว้นหรือเป็นปัญหาเด่นที่มีกรณีแบบนี้ได้รับอนุมัติจำนวนมากใน Google Ads กันแน่ แต่บทความไม่ได้ให้คำตอบ
    • “บริษัทระบุว่าเมื่อมีการรายงานโฆษณาหลอกลวง จะลบออกทันทีโดยเร็วที่สุดเท่าที่ทำได้”
      หนึ่งปีก่อนก็มีปัญหาแบบเดียวกัน และดูเหมือนคำนำหน้าชื่อโดเมนก็เหมือนกัน
      https://www.bleepingcomputer.com/news/security/google-ad-for...
    • ถ้าไม่ได้รับเงินหรือไม่ได้มีเป้าหมายที่ดี ก็ไม่ทำการมอดเดอเรตเนื้อหา Google Ads ไม่ใช่ทั้งสองอย่าง
  • ถ้าผมต้องผ่านขั้นตอนสารพัดเพราะ KYC (Know Your Customer) ก็อยากให้บริษัทต่าง ๆ ต้องทำแบบเดียวกันในกรณีแบบนี้ที่ทำให้ชีวิตลำบากด้วย
    ไม่ว่าจะเป็นโฆษณาชวนเข้าใจผิด โทรศัพท์สแปม สินค้าปลอมในที่อย่าง Amazon ไปจนถึงอีเมล
    ทุกอย่างเหมือนถูกสร้างมาให้มิจฉาชีพทุกคนบนโลกเข้าถึงผมได้ 100% แต่กลับไม่มีทางใดเลยที่จะเข้าถึงบริษัทที่ทำให้เรื่องแบบนี้เกิดขึ้นได้

    • ความไม่สมมาตรของข้อมูล ที่เป็นรากฐานของเศรษฐกิจการหลอกลวงนี่น่าโมโหมากจริง ๆ
  • นี่เป็นวิธีที่ค่อนข้างฉลาดเลย ถ้าเห็นลิงก์ในบริบทที่ไม่ใช่โฆษณา ผมเองก็อาจโดนหลอกได้
    ปกติการแทนที่ด้วย Unicode มักจะมีตัวอักษรที่ดูแปลกไปแม้เพียงนิดเดียวจนพอฝึกสังเกตได้ แต่กรณีนี้ไม่ใช่แบบนั้น แม้มีลูกศรชี้อยู่ ผมก็ยังไม่เห็นจุดใต้ k และในสายตาผมมันดูเหมือนฝุ่นหรือคราบเล็ก ๆ บนจอ
    บนหน้าจอมีอะไรแบบนั้นเยอะอยู่แล้ว และระบบการมองเห็นของเราก็เก่งในการมองข้ามสัญญาณรบกวนแบบนั้น

    • ผมก็คงโดนเหมือนกัน แต่เพราะใช้ dark mode มันจึงแสดงเป็นจุดสีขาวบนพื้นหลังสีดำ ไม่ดูเหมือนฝุ่นบนหน้าจอ แต่เห็นชัดมาก
      ไม่ใช่ฝุ่นที่เหมือนพิกเซลดำที่บังแสง แต่เป็นพิกเซลขาวที่ส่องแสง ไม่เคยคิดมาก่อนว่า dark mode จะเป็นเครื่องมือเพิ่มความปลอดภัยได้ :)
    • มีตัวอักษรจำนวนมากที่แยกแยะได้ยากมาก เบราว์เซอร์ควรตรวจจับสิ่งเหล่านี้ แต่ก็ไม่ได้ทำได้เสมอไป
  • Punycode เองก็น่าสงสัยเรื่องจุดประสงค์ตั้งแต่แรก แม้นี่จะเป็นมุมมองจากผู้ใช้ตัวอักษรละตินเป็นหลัก แต่ตลอด 10 ปีที่ผ่านมา เว็บไซต์ในกลุ่มภาษาที่ไม่ใช่อักษรละตินหลายแห่งที่เคยดู ล้วนใช้โดเมน ASCII ปกติ
    แม้แต่ชื่อผู้ใช้บนเว็บไซต์ที่อนุญาต Unicode ก็ยังเห็นว่าผู้ใช้ภาษาที่ไม่ใช่อักษรละตินส่วนใหญ่ใช้ชื่อผู้ใช้เป็นอักษรละติน
    ที่จริงแล้วที่ใช้ Punycode กันแทบทั้งหมดคือโดเมนสแปม แม้แต่โดเมนในกลุ่มอักษรซีริลลิกหรือเอเชียส่วนใหญ่ก็ไม่ได้ใช้ Punycode
    ผมเข้าใจแนวคิดของ Punycode และมันน่าประทับใจในเชิงเทคนิค แต่สำหรับโดเมนแล้วมันกลายเป็นปัญหา phishing ขนาดใหญ่

    • ผมสนับสนุนภาษาของแต่ละประเทศอย่างเต็มที่ และ ASCII ก็ไม่เหมาะกับมนุษยชาติส่วนใหญ่ แต่ก็ชัดเจนว่า Unicode ในปัจจุบันไม่เหมาะกับแอปพลิเคชันที่อ่อนไหวด้านความปลอดภัย
      แม้ผมจะใช้ภาษายุโรปหลายภาษา ตัวอักษร Unicode ที่จำเป็นจริง ๆ ก็มีไม่ถึง 10 ตัว และจริง ๆ แล้วแต่ละตัวยังคงเป็นรหัส ISO 8859-15 แบบ 8 บิต ถึงจะบอกว่าจำเป็น แต่เว็บไซต์ส่วนใหญ่ก็ไม่ได้จดโดเมน Punycode ด้วยซ้ำ และใช้ชื่อเวอร์ชัน ASCII ที่ทำให้ชื่อเพี้ยนแทน
      ในเชิงปฏิบัติ เบราว์เซอร์ควรถามผู้ใช้ตอนป้อน URL ที่มีอักขระที่ไม่ใช่ ASCII เป็นครั้งแรก ว่าจะอนุญาต URL ของภาษาใดภาษาหนึ่งหรือไม่ แค่อนุญาตหนึ่งหรือสองภาษาก็ลดพื้นผิวการโจมตีสำหรับผู้ใช้ส่วนใหญ่ได้มากแล้ว
    • ปัญหาหนึ่งของโดเมน ASCII คือ การแมปเสียงของภาษา CJK
      เช่นตอนนี้ asahi.com ถูก 朝日 (หนังสือพิมพ์อาซาฮี) เอาไปแล้ว Asahi town (旭) จึงใช้ไม่ได้ แน่นอนว่าอาจใช้ asahi-town.co.jp ได้ แต่ก็ยังมีชื่อสถานที่ Asahi ในการเขียนแบบอื่นอีกมาก (旭日, 朝陽, 浅緋 ฯลฯ)
      การบังคับให้ทั้งหมดนี้ใช้รูปแปลง ASCII แบบตามอำเภอใจนั้นไม่สมเหตุสมผล แค่ชื่อสถานที่ในญี่ปุ่นก็เป็นขนาดนี้แล้ว ยังมีปัญหาการทับซ้อนกันทั่วทั้งเขตวัฒนธรรมอักษรจีนอีก
      การที่โดเมนแบบนี้ถูกจดจริงหรือไม่นั้นใกล้เคียงกับปัญหาไก่กับไข่ และพื้นที่ความชนกันข้างต้นก็ดูไม่น่าจะแก้ได้อย่างเรียบร้อยภายในตัวอักษร ASCII
      โดเมน ASCII ของโลกตะวันตกที่เสี่ยงต่อการหลอกลวงเป็นปัญหาก็จริง แต่จะเผาบ้านทั้งหลังเพื่อกำจัดตัวเรือดก็คงไม่ได้
    • ผมอาศัยอยู่ในประเทศที่ไม่ใช้ภาษาอังกฤษ และในทางเทคนิคก็มีโดเมนที่ไม่ใช่ ASCII แต่พบได้น้อยมาก เว็บไซต์ส่วนใหญ่โดยเด็ดขาดใช้อักษรละติน
      อย่างไรก็ตาม สำหรับโดเมนระดับบนสุดเฉพาะอย่าง .рф ผมไม่เห็นว่า Punycode เองเป็นปัญหา เช่นรูปแบบอย่าง кремль.рф ผมคิดว่าโอเค
    • หลายคนอาจอยากจดชื่อของตัวเอง ชื่อเมืองของตัวเอง ฯลฯ สิ่งเหล่านี้ดูเป็นกรณีใช้งานที่สมเหตุสมผลทั้งหมด
      อาจพูดได้ว่าทุกอย่างที่เกิน ASCII นั้นน่าสงสัย แต่คนที่ภาษาแม่ไม่ใช่ภาษาอังกฤษก็จะคัดค้านเสมอ
    • อาจเป็นความเห็นที่ไม่เป็นที่นิยม แต่การพยายามยัด Unicode ทั้งหมดเข้าไปในชื่อโดเมนเป็นความคิดที่แย่ ควรอยู่กับ ASCII [A-Za-z0-9-] แบบไม่แยกตัวพิมพ์เล็ก-ใหญ่ต่อไป
  • วิธีหนึ่งในการลดโฆษณาอันตรายคือ ความโปร่งใส โฆษณาแต่ละชิ้นควรมีช่องทางติดต่อทางกฎหมายของผู้ลงโฆษณา คือชื่อบริษัทและประเทศ
    อาจไม่ได้แก้ปัญหาได้ทั้งหมด แต่ผู้บริโภคจะหลีกเลี่ยงโฆษณาจากบริษัทในยุโรปตะวันออกที่ดูน่าสงสัยได้ นักวิจัยด้านความปลอดภัยก็จะติดตามผู้กระทำผิดได้ง่ายขึ้น และ Google ในฐานะแพลตฟอร์มโฆษณาก็จะมีความรับผิดชอบในระดับหนึ่ง
    Facebook ทำแบบนี้กับโฆษณาการเมืองอยู่แล้ว แปลว่าทำได้

    • ถ้าทำแบบนั้น รายได้ของ Google และ Facebook จะลดลง
      ตราบใดที่รัฐบาลไม่บังคับ หรือความเสี่ยงด้านความรับผิดทางกฎหมายยังไม่สูงเกินไป พวกเขาก็คงไม่ทำเองโดยสมัครใจ
    • ทำไมยุโรปตะวันออกถึงน่าสงสัยล่ะ?
      นี่ออกจะเป็นการเกลียดกลัวคนต่างชาติหน่อย ๆ ไม่ใช่หรือ?
    • ก็ใช้ฐานข้อมูล ใบรับรอง SSL ของทุกเว็บไซต์[0] แล้วเปรียบเทียบกับเว็บไซต์ที่กำลังเข้าชม หรือเว็บไซต์ที่ซื้อพื้นที่โฆษณาอยู่ก็ได้
      [0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...
    • ถ้าเป็นแบบนั้นได้คงดีมาก