安全動(dòng)態(tài)

新型釣魚(yú)手段預(yù)警:你看到的 арр?е.com 真是蘋(píng)果官網(wǎng)?
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-04-19    瀏覽次數(shù):
 

信息來(lái)源:hackernews

研究人員發(fā)現(xiàn)一種“幾乎無(wú)法檢測(cè)”的新型釣魚(yú)攻擊,就連最細(xì)心的網(wǎng)民也難以辨別。黑客可通過(guò)利用已知漏洞在 Chrome、Firefox 與 Opera 瀏覽器中偽造顯示合法網(wǎng)站域名(例如:蘋(píng)果、谷歌或亞馬遜等),竊取登錄或金融憑證等敏感信息。

說(shuō)到辨別釣魚(yú)網(wǎng)站的最佳方式,我們最先想到的是檢查地址欄并查看網(wǎng)址是否已開(kāi)啟 HTTPS,然而,如果瀏覽器地址欄顯示的是“www.арр?е.com”,你是不是 100% 確信它是蘋(píng)果官網(wǎng)呢?

images041602

△ 網(wǎng)址 www.арр?е.com 是 Wordfence 安全專(zhuān)家為演示漏洞而創(chuàng)建的欺詐網(wǎng)址,實(shí)際為域名“epic.com ”。

Punycode 網(wǎng)絡(luò)釣魚(yú)攻擊

Punycode 是一種供 Web 瀏覽器將 Unicode 字符轉(zhuǎn)換為支持國(guó)際化域名( IDN )系統(tǒng) ASCII( AZ,0-9 )有限字符集的特殊編碼。例如,中文域名 “ 短.co ” 在 Punycode 中表示為“ xn--s7y.co ”。通常情況下,多數(shù) Web 瀏覽器使用“ Punycode ”編碼表示 URL 中的 Unicode 字符以防御 Homograph 網(wǎng)絡(luò)釣魚(yú)攻擊。

研究人員表示,上圖演示的漏洞依賴(lài)于 Web 瀏覽器僅將一種語(yǔ)言的 Punycode URL 作為 Unicode 的事實(shí)(如僅限中文或僅限日文),而對(duì)于域名包含多種語(yǔ)言字符的情況則無(wú)效。這一漏洞允許研究人員注冊(cè)一個(gè)在所有存在漏洞的 Web 瀏覽器(如 Chrome、Firefox 與 Opera )上顯示為 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并繞過(guò)保護(hù)措施。

換句話說(shuō),你以為看到的是蘋(píng)果官網(wǎng) “apple.com”,實(shí)際上它是網(wǎng)站“xn—80ak6aa92e.com”,也就是“epic.com”。不過(guò),經(jīng)過(guò)小編們的大膽嘗試發(fā)現(xiàn),這一釣魚(yú)網(wǎng)址在微信上并不管用。

images041604

△ 網(wǎng)址一模一樣是吧?然而假網(wǎng)址“www.арр?е.com” 在微信上不會(huì)顯示藍(lán)色鏈接

不過(guò),大家可以放心,IE、Microsoft Edge、Safari、Brave 與 Vivaldi 瀏覽器上面并不存在這個(gè)漏洞。

Google 即將推出補(bǔ)丁,Mozilla 還在路上

據(jù)悉,研究人員已于今年 1 月向受影響瀏覽器廠商(包括 Google 與 Mozilla )報(bào)告此問(wèn)題。目前,Mozilla 仍在討論解決方案,而 Google 已在 Chrome Canary 59 中修復(fù)該漏洞并將于本月末伴隨 Chrome Stable 58 發(fā)布提供該漏洞的永久性修復(fù)補(bǔ)丁。

對(duì)此,安全專(zhuān)家建議用戶(hù)在 Web 瀏覽器中禁用 Punycode 支持,并對(duì)網(wǎng)絡(luò)釣魚(yú)域名加以識(shí)別的做法以暫時(shí)緩解此類(lèi)攻擊造成的影響。

Firefox 用戶(hù)緩解措施(不適用于 Chrome 用戶(hù))

Firefox 用戶(hù)可按照以下步驟手動(dòng)申請(qǐng)臨時(shí)緩解措施:

1. 在地址欄中輸入 about:config,然后按Enter鍵。
2. 在搜索欄中輸入 Punycode;
3. 瀏覽器設(shè)置將顯示參數(shù) IDN_show_punycode,通過(guò)雙擊或右鍵單擊選擇 Toggle 的方式將值從 false 改為 true。

然而,Chrome 或 Opera 不提供手動(dòng)禁用 Punycode 網(wǎng)址轉(zhuǎn)換的類(lèi)似設(shè)置,因此 Chrome 用戶(hù)只能再等幾周獲取官方發(fā)布的瀏覽器最新版本。

知道創(chuàng)宇 404 安全專(zhuān)家表示,倘若攻擊者利用這一漏洞結(jié)合釣魚(yú)郵件發(fā)至重要企事業(yè)單位,很有可能導(dǎo)致重要信息外泄。對(duì)此,專(zhuān)家們建議廣大網(wǎng)民訪問(wèn)重要網(wǎng)站時(shí)選擇手動(dòng)輸入網(wǎng)址,不要輕易訪問(wèn)未知網(wǎng)站或電子郵件中提及的任何鏈接,以防中招。

原作者:Mohit Kumar,譯者:青楚,譯審:游弋、狐貍醬
本文由 HackerNews.cc 翻譯整理,封面來(lái)源于網(wǎng)絡(luò);
轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接。

 
 

上一篇:工信部部署2017年電信行業(yè)行風(fēng)建設(shè)和糾風(fēng)工作

下一篇:2017年04月19日 聚銘安全速遞