看似安全的东西并不一定如此。如果您使用的是 Chrome、Firefox 或 Opera,然后单击这个链接(你可以去那里,这只是一个测试),你到达“www.apple.com”网站。一切看起来都很正常。连接是 HTTPS,我们可以清楚地看到绿色的小挂锁,它告诉我们存在正确的安全证书。然而,这是一个由安全研究人员创建的假网站Xudong Zheng。这为多种网络钓鱼诈骗打开了大门。这怎么可能?
事实上,这种策略并不新鲜。这种攻击被称为“同形异义攻击”,它基于 ICANN 于 2003 年推出的国际化域名,可以使用拉丁语以外的字符创建 URL。在这种情况下,研究人员使用了西里尔字符,考虑到地址栏中使用的字体,该字符看起来与“www.apple.com”非常相似。
唯一确定的方法是检查证书。在 Chrome 中,您必须转到“更多工具 -> 开发工具”并单击“安全”选项卡,然后单击“查看证书”按钮。然后我们看到真实的URL是“www.xn--80ak6aa92e.com”。与苹果无关。
同形攻击首次出现于 2005 年,产生了来自 ICANN 的警报。但从那时起,这个问题就没有找到真正的解决方案。正如 The Register 所指出的,该主题确实发布于ICANN 讨论话题,但这还远远没有让人们兴奋。因此,同源攻击经常出现。 2011 年,垃圾邮件发送者因此冒充网站“paypal.com”再次使用西里尔字母。
还要实施一个补丁
浏览器发布商正在尝试通过过滤算法和/或白名单来解决这个问题。铬合金等火狐浏览器例如,每个都有一个算法,允许他们决定何时以本机格式或拉丁字符显示 URL。通常,当 URL 混合来自不同来源的字符时,它被认为不可信,因此会显示拉丁版本。但显然,完全用西里尔字母写的地址,比如郑旭东伪造的地址,到目前为止还没有造成问题。因此,相关的三个出版商将被迫更新其安全系统。 Google 将在 58 版中提供修复程序,该版本应于 4 月底发布。 Mozilla 也正在准备补丁,但尚未公布日期。
与此同时,避免上当的一个好方法是停用国际化域名的本机显示。在 Firefox 上,您必须转到“about:config”页面并将“network.IDN_show_punycode”变量设置为“true”。还强烈建议使用密码管理器,因为可以肯定的是,后者不会落入陷阱,因此不会提供标识符。
