看來安全的不一定是。如果您使用Chrome,Firefox或Opera,然後單擊此鏈接(您可以去,這只是一個測試),您到達網站“ www.apple.com”。一切似乎正常。該連接是在HTTPS中的,我們可以清楚地看到小綠色掛鎖,該掛鎖向我們告知有良好和應有形式的安全證書。然而,這是一個錯誤的網站,由安全研究人員創建Xudong Zheng。這為多個網絡釣魚騙局打開了大門。怎麼可能?
實際上,這種策略並不是什麼新鮮事。它被稱為“同構攻擊”,它基於ICANN在2003年推出的國際化域名,並且可以使用拉丁語以外的其他字符創建URL。在這種情況下,研究人員使用了西里爾字符,鑑於地址欄中使用的字體,看起來它似乎被誤認為是“ www.apple.com”。
清楚的唯一方法是檢查證書。在Chrome中,您必須轉到“更多工具 - >開發工具”,然後單擊“安全性”選項卡,然後在“視圖證書”按鈕上使用。然後,我們看到真正的URL為“ www.xn - 80ak6aa92e.com”。與蘋果無關。
同構攻擊是2005年首次出現的,產生了ICANN的警報。但是從那時起,就沒有找到這個問題的真正解決方案。如登記冊註釋,該主題已張貼在ICANN的討論線,但他遠沒有吸引人群。因此,經常出現同構攻擊。在2011年,垃圾郵件發送者因此篡奪了網站“ paypal.com”的身份在這裡再次使用西里爾字符。
還有一個鄉村
Navigators的發布者正在嘗試通過過濾和/或白色列表算法來解決這個問題。鉻合金等Firefox,例如,每個都有一種算法,該算法使他們可以決定何時必須以本機格式或拉丁字符顯示URL。通常,當URL混合不同起源的字符時,它不被認為是值得信賴的,因此所顯示的拉丁語版本。但是顯然,像Xudong Zheng偽造的那樣,完全在西里爾式的地址並不是一個問題。因此,有關的三個發布者將被迫更新其安全設備。 Google將在版本58中進行更正,該版本應在4月底到達。還在Mozilla準備補丁,但沒有宣布日期。
同時,不愚弄的一種好方法是停用國際化域名的本地展示。在Firefox上,您必須轉到“ about:config”頁面,然後將變量“ network.idn_show_panycode”放在“ true”。還強烈建議使用密碼管理器,因為後者可以肯定不會落入面板中,因此不會提供標識符。
