安全動態(tài)

新型釣魚手段預(yù)警:你看到的 арр?е.com 真是蘋果官網(wǎng)?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-04-19    瀏覽次數(shù):
 

信息來源:hackernews

研究人員發(fā)現(xiàn)一種“幾乎無法檢測”的新型釣魚攻擊,就連最細(xì)心的網(wǎng)民也難以辨別。黑客可通過利用已知漏洞在 Chrome、Firefox 與 Opera 瀏覽器中偽造顯示合法網(wǎng)站域名(例如:蘋果、谷歌或亞馬遜等),竊取登錄或金融憑證等敏感信息。

說到辨別釣魚網(wǎng)站的最佳方式,我們最先想到的是檢查地址欄并查看網(wǎng)址是否已開啟 HTTPS,然而,如果瀏覽器地址欄顯示的是“www.арр?е.com”,你是不是 100% 確信它是蘋果官網(wǎng)呢?

images041602

△ 網(wǎng)址 www.арр?е.com 是 Wordfence 安全專家為演示漏洞而創(chuàng)建的欺詐網(wǎng)址,實際為域名“epic.com ”。

Punycode 網(wǎng)絡(luò)釣魚攻擊

Punycode 是一種供 Web 瀏覽器將 Unicode 字符轉(zhuǎn)換為支持國際化域名( IDN )系統(tǒng) ASCII( AZ,0-9 )有限字符集的特殊編碼。例如,中文域名 “ 短.co ” 在 Punycode 中表示為“ xn--s7y.co ”。通常情況下,多數(shù) Web 瀏覽器使用“ Punycode ”編碼表示 URL 中的 Unicode 字符以防御 Homograph 網(wǎng)絡(luò)釣魚攻擊。

研究人員表示,上圖演示的漏洞依賴于 Web 瀏覽器僅將一種語言的 Punycode URL 作為 Unicode 的事實(如僅限中文或僅限日文),而對于域名包含多種語言字符的情況則無效。這一漏洞允許研究人員注冊一個在所有存在漏洞的 Web 瀏覽器(如 Chrome、Firefox 與 Opera )上顯示為 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并繞過保護措施。

換句話說,你以為看到的是蘋果官網(wǎng) “apple.com”,實際上它是網(wǎng)站“xn—80ak6aa92e.com”,也就是“epic.com”。不過,經(jīng)過小編們的大膽嘗試發(fā)現(xiàn),這一釣魚網(wǎng)址在微信上并不管用。

images041604

△ 網(wǎng)址一模一樣是吧?然而假網(wǎng)址“www.арр?е.com” 在微信上不會顯示藍(lán)色鏈接

不過,大家可以放心,IE、Microsoft Edge、Safari、Brave 與 Vivaldi 瀏覽器上面并不存在這個漏洞。

Google 即將推出補丁,Mozilla 還在路上

據(jù)悉,研究人員已于今年 1 月向受影響瀏覽器廠商(包括 Google 與 Mozilla )報告此問題。目前,Mozilla 仍在討論解決方案,而 Google 已在 Chrome Canary 59 中修復(fù)該漏洞并將于本月末伴隨 Chrome Stable 58 發(fā)布提供該漏洞的永久性修復(fù)補丁。

對此,安全專家建議用戶在 Web 瀏覽器中禁用 Punycode 支持,并對網(wǎng)絡(luò)釣魚域名加以識別的做法以暫時緩解此類攻擊造成的影響。

Firefox 用戶緩解措施(不適用于 Chrome 用戶)

Firefox 用戶可按照以下步驟手動申請臨時緩解措施:

1. 在地址欄中輸入 about:config,然后按Enter鍵。
2. 在搜索欄中輸入 Punycode;
3. 瀏覽器設(shè)置將顯示參數(shù) IDN_show_punycode,通過雙擊或右鍵單擊選擇 Toggle 的方式將值從 false 改為 true。

然而,Chrome 或 Opera 不提供手動禁用 Punycode 網(wǎng)址轉(zhuǎn)換的類似設(shè)置,因此 Chrome 用戶只能再等幾周獲取官方發(fā)布的瀏覽器最新版本。

知道創(chuàng)宇 404 安全專家表示,倘若攻擊者利用這一漏洞結(jié)合釣魚郵件發(fā)至重要企事業(yè)單位,很有可能導(dǎo)致重要信息外泄。對此,專家們建議廣大網(wǎng)民訪問重要網(wǎng)站時選擇手動輸入網(wǎng)址,不要輕易訪問未知網(wǎng)站或電子郵件中提及的任何鏈接,以防中招。

原作者:Mohit Kumar,譯者:青楚,譯審:游弋、狐貍醬
本文由 HackerNews.cc 翻譯整理,封面來源于網(wǎng)絡(luò);
轉(zhuǎn)載請注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接。

 
 

上一篇:工信部部署2017年電信行業(yè)行風(fēng)建設(shè)和糾風(fēng)工作

下一篇:2017年04月19日 聚銘安全速遞