开发者社区> boxti> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

给你介绍一个假的苹果网站,能肉眼看出来算我输!

简介:
+关注继续查看
  这或许是用肉眼最难分辨的钓鱼网站,没有之一,不信你试试,能看出端倪吗?

 给你介绍一个假的苹果网站,能肉眼看出来算我输!

网站的 URL 地址显示的是苹果官网,网址旁边是安全字样和绿色小锁,表示网站信息基于 https 加密传输,完全没什么问题,然而它就是一个钓鱼网站(演示网站)。

给你介绍一个假的苹果网站,能肉眼看出来算我输!

在介绍它是如何做到“完美伪装”之前,先来看看它可能有多危险。

据雷锋网了解,大部分人在浏览网站时,都会用肉眼来观察网站的URL地址,以及地址旁边的安全标识来判断网站是否是钓鱼网站。

现在这种方法完全失效了!只要攻击者做出一个类似文章开头那样的淘宝或者京东之类的购物网站,甚至是银行官网,用户根本无从辨别。

目前该方式仅在 Chrome、火狐以及 Opera 三款浏览器中出现。不过介于这三款浏览器的市场占用率,这种钓鱼方式的危害依然不可小觑。如果你使用的浏览器是这三者之一,可以 点击演示网站 亲身体验一下。

如何做到的?

据雷锋网了解,这是一位名叫郑旭东(读音)的中国研究人员报告的一种钓鱼方法。他在自己的博客发布这一钓鱼方式后,不少国外网友都纷纷表示:“ 鹅妹子嘤!”

这种攻击方式称为“同形异义词”攻击。其实并不是新方法,最早能追溯到2001年。不过由于一些现实情况,该问题目前依然存在于不少浏览器。

它的原理是这样的:有些国家或地区的网站域名会用到一些“地方语言”,比如希腊、西里尔、亚美尼亚,这些网址看起来虽然一样,但是电脑却认为不同。例如:

这里有三个看起来差不多的字符 :a、a、α ,但是第一个是西里尔文的 a,第二个是英文里的 a、第三个是俄文里的 α (数学题里的阿尔法)


虽然看起来都是 A,但计算机显然把它们当成不同的字符来对待。 

相信不少读者和宅客一样,脑补出了这样一个画面:

给你介绍一个假的苹果网站,能肉眼看出来算我输!

【孙楠、杨臣刚、王大治】

再把文章开头的“苹果官网”的网址和真正的网站来对比着看,你会发现,字母有些“缩小”了,虽然用肉眼几乎无法辨别出来。

给你介绍一个假的苹果网站,能肉眼看出来算我输!

说起来,中文域名其实也算是一种“奇奇怪怪的地方语言”,“丫头”的丫字也是字母 Y 的远房表亲 。

DNS 服务器很崩溃,它表示:

我可搞不懂这些乱七八糟的“方言”。

(注:DNS 即域名解析,通过网站域名来指向网站服务器IP)

为了让 DNS服务器能看懂这些“方言”,许多浏览器用一种叫 punycode 的编码方式, 把一些奇奇怪怪的“地方语言”翻译成网络 DNS服务器能懂的英文字符。

例如:

企鹅.com,用 Punycode 转换后为:xn--hoq754q. co

中国.cn,用 Punycode 转换后为:xn--fiqs8s. cn

你会注意到,punycode 转码之后的网站都会以“xn- ” 作为它的开头。

攻击者注册一个名为:xn--fiqs8s. cn 的域名,网址输入到浏览器之后,浏览器会自动还原成 “中国.cn ”。


攻击者注册一个名为:xn--80ak6aa92e.com ,输入到浏览器之后,浏览器会自动还原成 “apple.com” 

于是也就有了文章开头的一幕。

基于这种方法,宅客频道试了试,用几个俄文,似乎也能拼出一个 таоьао (淘宝的远房表亲)

给你介绍一个假的苹果网站,能肉眼看出来算我输!

虽然上面的 таоьао 一看就能分辨出是假的,但全世界有几千种文字,就不怕挑不出来个长得像的。

给你介绍一个假的苹果网站,能肉眼看出来算我输!

如何提防这种攻击?

雷锋网(公众号:雷锋网)编辑亲测,目前大部分国产浏览器是不存在该问题的,这是个令人欣喜的消息。问题主要存在于谷歌浏览器(Chrome)、火狐浏览器(Firefox)、欧朋浏览器(Opera)。

Firefox 用户可以按照以下的步骤来手动将暂时缓解:

在地址栏输入about:config ,按回车,在搜索框输入 punycode,将 network.idn_show_punycode 选项标记为 “True"。

谷歌浏览器用户可以安装一个名为:punycode Alert 的拓展插件,它会对所有存在该问题的网站进行报警。

Opera 浏览器的话,目前雷锋网宅客频道没有找到相应的技术解决方案。

不过雷锋网建议,在访问一些重要的网站时,尽量用手动输入网址的方式访问,不要轻易点击超链接,因为你点进去的每一个网站都可能是假的,虽然看起来没问题。

最重要的一点是你要认识到,用网址和浏览器的安全标识来判断网站的安全性,未必靠谱。这年头上网要安全,还得靠自己的分辨力。

给你介绍一个假的苹果网站,能肉眼看出来算我输!

来,再看一遍,你能分辨出这是个假的苹果官网吗?

给你介绍一个假的苹果网站,能肉眼看出来算我输!



  本文作者:谢幺

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
苹果ios开发的基础语言介绍
iOS开发的标准语言是objective-c。是c的一种超集, 它是对c的扩展,支持面向对象编程。像后来的一些高级语言java,c#等都借鉴了该语言的面向对象特性。 当然在iOS开发过程中,也支持c/c++语言与原生的objective-c混编。
44 0
和Ruby On Rail 创始人讨论软件开发
  如果您要总结软件开发的整个过程,您会说:"该项目迟到了,它被取消了"。   我们已经到了《困难的计算机》的结尾。 在讨论了各个软件组件的组成方式(从打印机驱动程序到密码哈希)后,我想总结一下构建软件产品的原理。   也许有些尴尬,但是即使经过了几年的行业发展,我仍然不明白为什么高科技公司如此着迷于速度。 这种迷恋被融入软件的语言中,其中工作周期称为冲刺,进度的度量称为速度。 但是,快速交付软件真的那么重要吗? 我不知道。 我不是自己开发软件,而是每天都对它进行故障排除,还是有时候,我希望工程师的工作速度稍慢一些。   我将有关构建软件方法论的问题带给了一个对该主题进行过激烈辩论的人。
22 0
搜索引擎相关性计算
计算相关性是排名过程中最重要的一步。相关性计算是搜索引擎算法中最令SEO感兴趣的部分。 影响相关性的主要因素包括以下几方面。 (1)关键词常用程度。经过分词后的多个关键词,对整个搜索字符串的意义贡献并不相同。越常用的词对搜索词的意义贡献越小,越不常用的词对搜索词的意义贡献越大。 (2)关键词位置及形式。就像在索引部分中提到的,页面关键词出现的格式和位置都被记录在索引库中。关键词出现在比较重要的位置,如标题标签、黑体、H1等,说明页面与关键词越相关。这一部分就是页面SEO所要解决的。
119 0
+关注
boxti
12535
文章
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
代码未写,漏洞已出
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载