看过这么多人在网上被骗的经历,现在的人可以说对网络诈骗很警惕。当遇到可疑的电话、邮件或网站时,大家可能会注意这些号码或网站是否是官方的。如果他们不是,十有八九是骗子。然而,无论一个人多么聪明,遇到一个有准备的骗子,也有可能被抓住。现在有了史上模仿度最高的苹果官网。这个网站看起来像apple.com。肉眼几乎看不出什么区别,但确实是钓鱼网站。好在这篇文章只是安全人员用来测试的,并不在坏人手里。
知乎专栏《浅黑科技》最近发表了一篇文章,介绍了这样一个苹果模仿网站。刚看到的时候,连钓鱼网站和苹果官网的区别都没看出来。完全一样。看完之后,真的很神奇。幸好被网络安全人员研究过,没有被骗子利用。否则,这种对官网和百度搜索引流的高度模仿将会带来灾难性的后果。
在介绍它如何实现“完美伪装”之前,我们先来看看它可能有多危险。
大多数人在浏览网站时,都会用肉眼观察网站的URL地址和地址旁边的安全标志来判断该网站是否是钓鱼网站。
现在这个方法完全无效!只要攻击者做出像文章开头那样的淘宝或JD.COM等购物网站,甚至是银行官网,用户根本分辨不出来。
目前这种方法只出现在Chrome、Firefox和Opera浏览器中。但是,由于这三种浏览器的市场份额,这种钓鱼方式的危害不容小觑。如果你使用的浏览器是三者之一,你可以点击演示网站亲自体验一下。
你是怎么做到的?
这是一位名叫郑旭东的中国研究人员报道的一种捕鱼方法。他在博客上发布了这个钓鱼方法后,很多外国网友都表示:“鹅妹!”
这种攻击称为同形攻击。其实也不是什么新方法,最早可以追溯到2001年。但是由于一些现实情况,这个问题在很多浏览器中仍然存在。
其原理如下:一些国家或地区会在其网站域名中使用一些“当地语言”,如希腊、西里尔和亚美尼亚。虽然这些网站看起来一样,但电脑认为它们是不同的。例如:
这里有三个看起来很像的字符:A,A,α,但是第一个是西里尔字母A,第二个是英语A,第三个是俄语α(数学题中的α)。
虽然看起来都是A的,但电脑显然把他们当成了不同的角色。
将文章开头的“苹果官网”网站与真实网站对比,会发现字母有些“缩小”,虽然肉眼几乎无法分辨。
说白了,中文域名其实是一种“陌生的地方语言”,而“女孩”一词也是字母y的远房表亲。
DNS服务器崩溃,这意味着:
我听不懂这些乱七八糟的方言。
(注:DNS指域名解析,指通过网站域名解析网站服务器IP)
为了让DNS服务器能够理解这些方言,很多浏览器使用一种叫做punycode的编码方法,将一些陌生的本地语言翻译成网络DNS服务器能够理解的英文字符。
例如:
由普尼柯德皈依的Penguin.com是xn-hoq754q.co。
China.cn,由Punycode转换而来,是xn – fiqs8s。通信网络(Communicating Net的缩写)
您会注意到punycode转码后的所有网站都以“xn-”开头。
攻击者注册了一个名为xn – fiqs8s的域名。cn,并将网址输入浏览器后,浏览器将自动恢复为“China.cn”。
攻击者注册一个名称:http://http://xn-80ak6aa92e.com,输入浏览器后,浏览器会自动恢复到“apple.com”
于是就有了文章开头的那一幕。
如何防范此类攻击?
原作者莫哥亲自测试,目前国内大部分浏览器都不存在这个问题,这是一个可喜的消息。主要问题是谷歌Chrome、火狐和Opera。
火狐用户可以按照以下步骤手动临时解除:
在地址栏中输入about:config,按Enter,在搜索框中输入punycode,将network.idn_show_punycode选项标记为“True”。
谷歌浏览器用户可以安装一个名为punycode Alert的扩展,它将向所有网站发出这个问题的警报。
戏曲浏览器,目前,莫哥还没有找到相应的技术解决方案。
不过我建议在访问一些重要网站的时候,尽量手动输入网址,不要轻易点击超链接,因为你点击的每个网站都可能是假的,虽然看起来还行。
最重要的一点是,你要意识到,以网址和浏览器的安全标识来判断一个网站的安全性,可能并不可靠。为了安全上网,你必须依靠自己的决心。
PS:只有原文提到的Chrome、火狐、Opera受到影响,官方浏览器不受影响。我刚在自己的电脑上试过。高仿苹果官网网站其实是复制到最新版本Chrome 69的假域名,不会被忽悠,而高仿苹果网站则在Firefox中展示。
火狐会显示高仿域名。
Chrome 69已经显示了真实的域名。
另外国产浏览器在这方面确实做得不错,证明了Xiacheetah和360极速浏览器可以提示网站风险,其中360极速浏览器会有选择跳转到真正的苹果官网。
也有一种不好的感觉,这种钓鱼方法以前可能局限在一个小圈子里,但被大规模报道后,别有用心的人肯定会寻找漏洞,以后可能会有更多的这种欺诈性的钓鱼方式。