看似安全的東西不一定如此。如果您使用的是 Chrome、Firefox 或 Opera,然後按一下這個連結(你可以去那裡,這只是一個測試),你到達“www.apple.com”網站。一切看起來都很正常。連接是 HTTPS,我們可以清楚地看到綠色的小掛鎖,它告訴我們有正確的安全性憑證。然而,這是一個由安全研究人員創建的假網站Xudong Zheng。這為多種網路釣魚詐騙打開了大門。這怎麼可能?
事實上,這種策略並不新鮮。這種攻擊被稱為“同形異義攻擊”,它基於 ICANN 於 2003 年推出的國際域名,可以使用拉丁語以外的字元建立 URL。在這種情況下,研究人員使用了西里爾字符,考慮到地址欄中使用的字體,該字符看起來與“www.apple.com”非常相似。
唯一確定的方法是檢查證書。在 Chrome 中,您必須前往「更多工具 -> 開發工具」並按一下「安全性」選項卡,然後按一下「檢視憑證」按鈕。然後我們看到真實的URL是「www.xn--80ak6aa92e.com」。與蘋果無關。
同形攻擊首次出現在 2005 年,產生了來自 ICANN 的警報。但從那時起,這個問題就沒有找到真正的解決方案。正如 The Register 所指出的,該主題確實發佈於ICANN 討論話題,但這還遠遠沒有讓人們興奮。因此,同源攻擊經常出現。 2011 年,垃圾郵件發送者因此冒充網站“paypal.com”再次使用西里爾字母。
還要實施一個補丁
瀏覽器發布商正在嘗試透過過濾演算法和/或白名單來解決這個問題。鉻合金等火狐瀏覽器例如,每個都有一個演算法,允許他們決定何時以本機格式或拉丁字元顯示 URL。通常,當 URL 混合來自不同來源的字元時,它被認為不可信,因此會顯示拉丁版本。但顯然,完全用西里爾字母寫的地址,例如鄭旭東偽造的地址,到目前為止還沒有造成問題。因此,相關的三個出版商將被迫更新其安全系統。 Google 將在 58 版中提供修復程序,該版本應於 4 月底發布。 Mozilla 也正在準備補丁,但尚未公佈日期。
同時,避免上當的一個好方法是停用國際化網域的本機顯示。在 Firefox 上,您必須前往「about:config」頁面並將「network.IDN_show_punycode」變數設為「true」。也強烈建議使用密碼管理器,因為可以肯定的是,後者不會落入陷阱,因此不會提供識別碼。
