- A+
Punycode Phishing 同形异义字钓鱼攻击
2017 年 4 月,国内安全专家 Xudong Zheng 发现了一种新型“几乎无法检测”的钓鱼攻击,即便平时十分谨慎的用户也可能无法逃过欺骗。黑客可利用 Chrome、Firefox 和 Opera 浏览器中的已知漏洞,将虚假的域名伪装成苹果、谷歌或者亚马逊网站,以窃取用户的登录凭证、金融凭证或其他敏感信息。在这里,黑客其实利用的就是 Punycode Phishing (同形异义字攻击)。
同形异义字攻击自2001年以来就已为人所知,但是浏览器厂商修复该问题的过程却很艰难。这种欺骗攻击就是网址看起来是合法的,但实际上不是,因为其中的一个字符或者多个字符已经被Unicode字符代替了。在默认情况下,许多web浏览器使用“Punycode”编码来表示URL中的Unicode字符,以防止同形异义字钓鱼攻击。Punycode是浏览器使用的特殊编码系统,可以将古希腊语等无法使用 ASCII(美国信息交换标准代码)表达的字符转换为可以用 ASCII 表达的字符。例如, ΓΝΩΘΙΣΕΑΥΤΟΝ (“know yourself”) 转译程 ASCII 字符就变成这样: xn--mxadglfwep7amk6b 。
而 Punycode Phishing 所依赖的基础则是:浏览器只将单一语言采用的 Unicode 编码转换为Ponycode URL (比如汉语或者日语),但是如果一个域名当中包含来自多个语言的字符,浏览器就无法分辨了。因此,攻击者就可以利用这个特点,发起 Punycode Phishing。例如罗马字母中的 I, E, A,Y, T, O 等与希腊字母、西里尔字母的外形一样,它们会被浏览器处理成不同的字符,但是最终在地址栏里显示的结果却是一样的。
当时,研究人员利用 Punycode 的上出特点注册了域名,进行攻击演示,最后发现 Chrome、Firefox和 Opera 浏览器都中招。这些浏览器在收到漏洞预警后先后都进行了修复。同时也提醒用户在手动输入重要网站 URL 时(包括Gmail、Facebook、Twitter、Yahoo 及银行网站)不要点击某些网站或者邮件当中的上述网站链接,以免遭受类似钓鱼攻击。
参考来源: https://blog.fraudwatchinternational.com/expert-explanations/what-is-punycode-phishing-part-1
钓鱼攻击在网络攻击中实在太常见,以至于衍生出不同种类、区分特别细致的多种比较特别的钓鱼攻击。在 BlackHat USA 2017 大会上,有研究人员分析了网络钓鱼中的心理学原理,最后得出的结论是,不论一个人自身技术水平有多高,都难免受到钓鱼攻击的影响,因为钓鱼攻击深深利用了人们的心理和思维弱点。 不得不说,这真的有些悲观。
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫