新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?
研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等),窃取登录或金融凭证等敏感信息。
说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是“www.аррӏе.com”,你是不是 100% 确信它是苹果官网呢?
△ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址,实际为域名“epic.com ”。
Punycode 网络钓鱼攻击
Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名( IDN )系统 ASCII( AZ,0-9 )有限字符集的特殊编码。例如,中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下,多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。
研究人员表示,上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实(如仅限中文或仅限日文),而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器(如 Chrome、Firefox 与 Opera )上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并绕过保护措施。
换句话说,你以为看到的是苹果官网 “apple.com”,实际上它是网站“xn—80ak6aa92e.com”,也就是“epic.com”。不过,经过小编们的大胆尝试发现,这一钓鱼网址在微信上并不管用。
△ 网址一模一样是吧?然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接
不过,大家可以放心,IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。
Google 即将推出补丁,Mozilla 还在路上
据悉,研究人员已于今年 1 月向受影响浏览器厂商(包括 Google 与 Mozilla )报告此问题。目前,Mozilla 仍在讨论解决方案,而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。
对此,安全专家建议用户在 Web 浏览器中禁用 Punycode 支持,并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。
Firefox 用户缓解措施(不适用于 Chrome 用户)
Firefox 用户可按照以下步骤手动申请临时缓解措施:
1. 在地址栏中输入 about:config,然后按Enter键。
2. 在搜索栏中输入 Punycode;
3. 浏览器设置将显示参数 IDN_show_punycode,通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。
然而,Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置,因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。
知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。对此,专家们建议广大网民访问重要网站时选择手动输入网址,不要轻易访问未知网站或电子邮件中提及的任何链接,以防中招。
新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?的更多相关文章
- 【APT】NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网
APT][社工]NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网 前言 城堡总是从内部攻破的.再强大的系统,也得通过人来控制.如果将入侵直接从人这个环节发起,那么再坚固的防线, ...
- iPhone被盗后怎么?这篇文章只办针对iOS7后的系统
中午准备去吃饭的时候,今天看到Tungbaby的手机被盗后怎么做?http://www.jianshu.com/p/f13f49cd9b90 碰巧我的手机也被盗了.就来分享下我的经验吧.由于我当时是在 ...
- 关于IAP的破解
介绍 大概在今年7月份,有俄罗斯黑客破解了苹果的应用内付费(In-App Purchases),设备在不越狱的情况下就可以免费获得来自苹果官网App Store里应用的收费道具.受影响的产品众多,包括 ...
- 关于《Swift开发指南》背后的那些事
时间轴(倒叙)2014年8月底在图灵出版社的大力支持下,全球第一本全面.系统.科学的,包含本人多年经验的呕心沥血之作<Swift开发指南>(配有同步视频课程和同步练习)全线重磅推出2014 ...
- Mac新手必看教程—让你离熟练操作mac只差十分钟
本文收录于:风云社区(提供各类mac软件资源下载) 本文源自:什么值得买 无论轻薄办公本.还是赶超台式性能的游戏本,关注#笔记本攻略#栏目,解决笔记本电脑从选购到使用的各种问题. 引子 大部分用户接触 ...
- 分析苹果代充产业链 汇率差+退款造就三线城市千万富翁_中新游戏研究_Joynews中新游戏
分析苹果代充产业链 汇率差+退款造就三线城市千万富翁_中新游戏研究_Joynews中新游戏 CNG:近日有媒体曝出8月22日这一天,有一家淘宝店卖出了351张面值4000南非南特的App Store ...
- iOS升级经验分享
作者认为,及时关注.快速反应.覆盖测试是面对iOS系统升级时最重要的三大原则,文中还详细分析了iCloud Storage和Automatic Reference Counting这两大iOS 5新特 ...
- 了解这些后,再去决定要不要买Mac苹果电脑!
我清晰的记得,刚买的macbook pro回到家,开机后第一件事情,就是上了淘宝网,花了500元钱,找了一个上门维修电脑的师傅,上门给我装了一个windows系统......表砍我...当时买mac的 ...
- 杂项-公司:Apple
ylbtech-杂项-公司:Apple 苹果公司(Apple Inc. )是美国的一家高科技公司.由史蒂夫·乔布斯.斯蒂夫·沃兹尼亚克和罗·韦恩(Ron Wayne)等人于1976年4月1日创立,并命 ...
随机推荐
- java 学习 todoList
1.并发包的使用 2.线程相关的源码,怎么结束一个线程 3.单例模式代码 4.mixin 相关的理解代码 书单: effective java java 编程思想 spring 编程指南 深入理解jv ...
- Ubuntu 16.04系统下安装RapidSVN版本控制器及配置diff,editor,merge和exploer工具
在Window下我们使用TortoiseSVN(小乌龟),可以很方便地进行查看.比较.更新.提交.回滚等SVN版本控制操作. 在Linux下我们可以使用RapidSVN.RapidSVN是一款轻量级的 ...
- CSS.06 -- 尚合网页模拟
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...
- Kruskal算法的实现
#include "stdio.h" #include "stdlib.h" struct edge { int m; int n; int d; }a[]; ...
- 开源 & 免费使用 & 打包下载自行部署 :升讯威 周报系统
这个周报系统大约写于2015年,缘起当时所带的开发团队需要逐步建立或完善一些项目管理方法. 在调研了网上的诸多项目管理或周报/日报管理系统之后,并没有找到符合当时情况的系统,这里最大的问题不是网上既有 ...
- 将一个对象push到数组之中的几点问题
在项目开发中我们需要向意数组中添加对象:首先想到的是利用数组的api,----push demo: var ar = [1,2,3] var ar2 = [11,22,33] var obj = { ...
- Excel图表-创意雷达图-原创图表
p{ font-size: 15px; } .alexrootdiv>div{ background: #eeeeee; border: 1px solid #aaa; width: 99%; ...
- 老李分享:开发python的unittest结果输出样式
老李分享:开发python的unittest结果输出样式 Python的unittest结果命令行输出,格式比较乱.为了提高格式输出的可读性,实现可以不同的颜色标识.所以准备扩展Python的un ...
- Android 微信第三方登录
步骤一 微信开发者平台 我开始的解决思路是,去微信开发者平台看API文档. 这个API文档的主要意思呢,有三点: 1.你得下载这几样东西(下载链接),一个是他的范例代码,一个是他的签名生成工具. 2. ...
- 移植 DeepinQQ 到 Fedora 中
本着自由/开源软件的分享精神创作此文,如有任何权力侵害请联系我,我将积极配合. 移植 DeepinQQ 到 Fedora 中 --也不知道是用移植还是迁移更合适 写在前面 首先,在这里要感谢武汉深之度 ...