這或許是用肉眼最難分辨的釣魚網站,沒有之一,不信你試試,能看出端倪嗎?
網站的 url 位址顯示的是蘋果官網,網址旁邊是安全字樣和綠色小鎖,表示網站資訊基于 https 加密傳輸,完全沒什麼問題,然而它就是一個釣魚網站(示範網站)。
在介紹它是如何做到“完美僞裝”之前,先來看看它可能有多危險。
據雷鋒網了解,大部分人在浏覽網站時,都會用肉眼來觀察網站的url位址,以及位址旁邊的安全辨別來判斷網站是否是釣魚網站。
現在這種方法完全失效了!隻要攻擊者做出一個類似文章開頭那樣的淘寶或者京東之類的購物網站,甚至是銀行官網,使用者根本無從辨識。
據雷鋒網了解,這是一位名叫鄭旭東(讀音)的中國研究人員報告的一種釣魚方法。他在自己的部落格釋出這一釣魚方式後,不少國外網友都紛紛表示:“ 鵝妹子嘤!”
這種攻擊方式稱為“同形異義詞”攻擊。其實并不是新方法,最早能追溯到2001年。不過由于一些現實情況,該問題目前依然存在于不少浏覽器。
它的原理是這樣的:有些國家或地區的網站域名會用到一些“地方語言”,比如希臘、西裡爾、亞美尼亞,這些網址看起來雖然一樣,但是電腦卻認為不同。例如:
這裡有三個看起來差不多的字元 :a、a、α ,但是第一個是西裡爾文的 a,第二個是英文裡的 a、第三個是俄文裡的 α (數學題裡的阿爾法) 雖然看起來都是 a,但計算機顯然把它們當成不同的字元來對待。
相信不少讀者和宅客一樣,腦補出了這樣一個畫面:
【孫楠、楊臣剛、王大治】
再把文章開頭的“蘋果官網”的網址和真正的網站來對比着看,你會發現,字母有些“縮小”了,雖然用肉眼幾乎無法辨識出來。
說起來,中文域名其實也算是一種“奇奇怪怪的地方語言”,“丫頭”的丫字也是字母 y 的遠房表親 。
dns 伺服器很崩潰,它表示:
我可搞不懂這些亂七八糟的“方言”。
(注:dns 即域名解析,通過網站域名來指向網站伺服器ip)
為了讓 dns伺服器能看懂這些“方言”,許多浏覽器用一種叫 punycode 的編碼方式, 把一些奇奇怪怪的“地方語言”翻譯成網絡 dns伺服器能懂的英文字元。
例如:
企鵝.com,用 punycode 轉換後為:xn--hoq754q. co 中國.cn,用 punycode 轉換後為:xn--fiqs8s. cn
你會注意到,punycode 轉碼之後的網站都會以“xn- ” 作為它的開頭。
攻擊者注冊一個名為:xn--fiqs8s. cn 的域名,網址輸入到浏覽器之後,浏覽器會自動還原成 “中國.cn ”。 攻擊者注冊一個名為:xn--80ak6aa92e.com ,輸入到浏覽器之後,浏覽器會自動還原成 “apple.com”
于是也就有了文章開頭的一幕。
基于這種方法,宅客頻道試了試,用幾個俄文,似乎也能拼出一個 таоьао (淘寶的遠房表親)
雖然上面的 таоьао 一看就能分辨出是假的,但全世界有幾千種文字,就不怕挑不出來個長得像的。
雷鋒網(公衆号:雷鋒網)編輯親測,目前大部分國産浏覽器是不存在該問題的,這是個令人欣喜的消息。問題主要存在于谷歌浏覽器(chrome)、火狐浏覽器(firefox)、歐朋浏覽器(opera)。
firefox 使用者可以按照以下的步驟來手動将暫時緩解:
在位址欄輸入about:config ,按回車,在搜尋框輸入 punycode,将 network.idn_show_punycode 選項标記為 “true"。
谷歌浏覽器使用者可以安裝一個名為:punycode alert 的拓展插件,它會對所有存在該問題的網站進行報警。
opera 浏覽器的話,目前雷鋒網宅客頻道沒有找到相應的技術解決方案。
不過雷鋒網建議,在通路一些重要的網站時,盡量用手動輸入網址的方式通路,不要輕易點選超連結,因為你點進去的每一個網站都可能是假的,雖然看起來沒問題。
最重要的一點是你要認識到,用網址和浏覽器的安全辨別來判斷網站的安全性,未必靠譜。這年頭上網要安全,還得靠自己的分辨力。
來,再看一遍,你能分辨出這是個假的蘋果官網嗎?