信息來源:hackernews
研究人員發(fā)現一種“幾乎無法檢測”的新型釣魚攻擊,就連最細心的網民也難以辨別�����。黑客可通過利用已知漏洞在 Chrome��、Firefox 與 Opera 瀏覽器中偽造顯示合法網站域名(例如:蘋果����、谷歌或亞馬遜等),竊取登錄或金融憑證等敏感信息���。
說到辨別釣魚網站的最佳方式����,我們最先想到的是檢查地址欄并查看網址是否已開啟 HTTPS���,然而���,如果瀏覽器地址欄顯示的是“www.арр?е.com”,你是不是 100% 確信它是蘋果官網呢�?
△ 網址 www.арр?е.com 是 Wordfence 安全專家為演示漏洞而創(chuàng)建的欺詐網址,實際為域名“epic.com ”���。
Punycode 網絡釣魚攻擊
Punycode 是一種供 Web 瀏覽器將 Unicode 字符轉換為支持國際化域名( IDN )系統(tǒng) ASCII( AZ�����,0-9 )有限字符集的特殊編碼���。例如�,中文域名 “ 短.co ” 在 Punycode 中表示為“ xn--s7y.co ”��。通常情況下�����,多數 Web 瀏覽器使用“ Punycode ”編碼表示 URL 中的 Unicode 字符以防御 Homograph 網絡釣魚攻擊�����。
研究人員表示����,上圖演示的漏洞依賴于 Web 瀏覽器僅將一種語言的 Punycode URL 作為 Unicode 的事實(如僅限中文或僅限日文),而對于域名包含多種語言字符的情況則無效��。這一漏洞允許研究人員注冊一個在所有存在漏洞的 Web 瀏覽器(如 Chrome�、Firefox 與 Opera )上顯示為 “ apple.com ” 的域名 xn—80ak6aa92e.com ���,并繞過保護措施�����。
換句話說���,你以為看到的是蘋果官網 “apple.com”����,實際上它是網站“xn—80ak6aa92e.com”���,也就是“epic.com”��。不過���,經過小編們的大膽嘗試發(fā)現,這一釣魚網址在微信上并不管用��。
△ 網址一模一樣是吧��?然而假網址“www.арр?е.com” 在微信上不會顯示藍色鏈接
不過����,大家可以放心����,IE��、Microsoft Edge�、Safari、Brave 與 Vivaldi 瀏覽器上面并不存在這個漏洞�。
Google 即將推出補丁,Mozilla 還在路上
據悉�����,研究人員已于今年 1 月向受影響瀏覽器廠商(包括 Google 與 Mozilla )報告此問題�。目前,Mozilla 仍在討論解決方案��,而 Google 已在 Chrome Canary 59 中修復該漏洞并將于本月末伴隨 Chrome Stable 58 發(fā)布提供該漏洞的永久性修復補丁���。
對此����,安全專家建議用戶在 Web 瀏覽器中禁用 Punycode 支持���,并對網絡釣魚域名加以識別的做法以暫時緩解此類攻擊造成的影響��。
Firefox 用戶緩解措施(不適用于 Chrome 用戶)
Firefox 用戶可按照以下步驟手動申請臨時緩解措施:
1. 在地址欄中輸入 about:config�����,然后按Enter鍵����。
2. 在搜索欄中輸入 Punycode���;
3. 瀏覽器設置將顯示參數 IDN_show_punycode���,通過雙擊或右鍵單擊選擇 Toggle 的方式將值從 false 改為 true。
然而�,Chrome 或 Opera 不提供手動禁用 Punycode 網址轉換的類似設置,因此 Chrome 用戶只能再等幾周獲取官方發(fā)布的瀏覽器最新版本���。
知道創(chuàng)宇 404 安全專家表示��,倘若攻擊者利用這一漏洞結合釣魚郵件發(fā)至重要企事業(yè)單位�����,很有可能導致重要信息外泄�。對此,專家們建議廣大網民訪問重要網站時選擇手動輸入網址���,不要輕易訪問未知網站或電子郵件中提及的任何鏈接���,以防中招。
原作者:Mohit Kumar�,譯者:青楚,譯審:游弋����、狐貍醬
本文由 HackerNews.cc 翻譯整理,封面來源于網絡���;
轉載請注明“轉自 HackerNews.cc ” 并附上原文鏈接�����。
