同形异义:最狡猾的钓鱼攻击

本文涉及的产品
.cn 域名,1个 12个月
简介: 本文讲的是同形异义:最狡猾的钓鱼攻击,网络钓鱼能让坚定的技术拥趸抓狂。一次错误点击,可能就是几千万的金钱损失,或者造成公司数据泄露。而且,网络钓鱼进化频繁。

本文讲的是 同形异义:最狡猾的钓鱼攻击,网络钓鱼能让坚定的技术拥趸抓狂。一次错误点击,可能就是几千万的金钱损失,或者造成公司数据泄露。而且,网络钓鱼进化频繁。
image

最近出现的一个例子就是,狡猾的新漏洞利用程序,可以让恶意网络钓鱼网站具备与已知可信网站一模一样的URL。

现在大家都知道要检查浏览器地址栏的绿色小锁头,看看是否启用了TLS加密。看到这个小锁头,你就知道没人能窃听你提交的任何数据了——这对金融和医疗网站而言是一个特别重要的考量。但是,能够冒充合法URL并绘制小锁头的恶意网站,就几乎不会给出你正在访问冒充者的任何提示了。

同形异义字

该漏洞利用了很多域名没有使用拉丁字母(比如中国汉字或斯拉夫语)的事实。基于英文的浏览器遇到这些URL时,会用Punycode域名编码,从在线文本标准Unicode维护的标准字符编码库中,对每个字符进行渲染。这个转换过程就被攻击者利用了。

网络钓鱼者可以给出看起来很熟悉但实际上指向不同URL和Web服务器的域名。因为站点看起来可信,诱骗用户加载了虚假页面的攻击者,可以更容易地说服他们回答问题或提供个人信息。

此类URL字符操纵行为,被称为同形异义字攻击,而且数年前便出现了。互联网网络号分配机构之类的组织与浏览器开发商合作,创建包括Punycode自身在内的防御机制,让URL欺骗更难进行。

但是,该攻击的新变体层出不穷。Web开发者郑旭东(音)在今年1月向谷歌和Mozilla报告了该漏洞利用,并于上周五进行了公开演示,创建了虚假Apple.com网站,在没打补丁的浏览器中看起来就是合法安全网站。

苹果Safari、微软Edge和IE对此攻击有了防护。本周放出的Chrome版本59也修复了该漏洞。但火狐开发商Mozilla还在衡量是否要发布补丁。该公司尚未就评论请求做出回复。

在此之前,你可以通过复制粘贴URL到文本编辑器中,来检查网站的有效性。冒充的URL仅仅是看起来熟悉,实际上却用的是以“www.xn--”开头的地址,在浏览器地址栏外面就能看到。比如说,郑旭东演示的虚假苹果网站,其地址就是 https://www.xn--80ak6aa92e.com。想要让这个地址获得“https”安全可信状态,郑旭东需要做的,仅仅是从 Let’s Encrypt 这样的实体申请TLS加密。

在地址栏输入“about:config”,出现的属性列表中搜索“network.IDN_show_punycode” ,右键点击唯一的搜索结果,选择第一个菜单项“Toggle”,将偏好值从默认的“false”改为“true”。

去钓鱼吧

鉴于网络渔夫对www.app1e.com之类域名的钟爱,Punycode招数看起来似乎攻击效力强大。但网络钓鱼研究和防御公司PhishMe首席技术官艾伦·西格比称,他的公司并未发现该骗术的任何野生实例。该公司检查过的暗网预制网络钓鱼工具包中,也没有发现任何用于执行该骗术的工具。

这并不是说此漏洞利用就真的销声匿迹了,可能只是网络渔夫觉得这招不太可靠而已。因为浏览器自动填充机制和口令管理器不会自动补全被冒充的网站。即便用户没发现,此类工具也知道URL不对劲。

总会有种针对每个网络钓鱼技术的技术性控制,而该控制措施最终也会被骗。网络钓鱼的生存空间就在于此。
随着该攻击方式的公开,其使用可能会迎来一波激增,对更具创造性版本的进一步研究也会增加。因此,在Chrome更新之前,盯紧自己的URL,以及网站试图呈现给你的任何诡异的东西。

原文发布时间为: 四月 21, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/24436.html

相关文章
|
2月前
|
安全 网络安全 数据安全/隐私保护
钓鱼攻击 (Phishing)
【8月更文挑战第17天】
35 3
|
5月前
|
安全 算法 数据可视化
认识Glitch到攻击BootROM
认识Glitch到攻击BootROM
130 0
|
5月前
|
安全 数据库 数据安全/隐私保护
撞库攻击是什么?如何有效阻止撞库攻击?
通过采取这些防护措施,可以有效降低撞库攻击的成功几率,保护用户的账户和数据安全。
246 0
撞库攻击是什么?如何有效阻止撞库攻击?
|
12月前
|
安全 网络安全 数据安全/隐私保护
网络安全攻击方式之"社会工程学"
网络安全攻击方式之"社会工程学"
|
SQL 安全 API
Web安全中常见的攻击方式和防范措施
在 Web 应用程序开发过程中,安全一直是一个重要的问题。攻击者不断进化他们的攻击技术,因此 Web 应用程序开发人员必须了解常见的攻击方式并采取相应的防范措施来确保应用程序的安全性。以下是一些常见的 Web 攻击方式和防范措施。
358 0
|
SQL 存储 缓存
网站该如何防止不被黑客SQL注入攻击
在众多网站上线后出现的安全漏洞问题非常明显,作为网站安全公司的主管我想给大家分享下在日常网站维护中碰到的一些防护黑客攻击的建议,希望大家的网站都能正常稳定运行免遭黑客攻击。
523 0
网站该如何防止不被黑客SQL注入攻击
|
算法 安全 大数据
女巫攻击及其防范
女巫攻击及其防范
|
安全 数据安全/隐私保护 网络架构
解密常见的社会工程学攻击
社会工程学的手段日渐成熟,其技术含量也越来越高。社会工程学在实施之前必须掌握「心理学」、「人际关系」、「行为学」等知识与技能,以便收集和掌握实施进攻行为所需的资料和信息。不了解社会工程学的小伙伴可以点击链接: 什么是社会工程学 。
331 0
|
安全 网络安全 数据安全/隐私保护
网络钓鱼这样“防”
所有人都觉得自己不会成为网络钓鱼攻击的受害者,然而,事实果真如此吗? 现如今,网络钓鱼攻击早已被认定为是公司和个人面临的最常见的安全威胁之一,这绝不是空穴来风。
469 0
网络钓鱼这样“防”