看过这么多人在网上被骗的经历,现在的人可以说对网络诈骗很警惕 。当遇到可疑的电话、邮件或网站时,大家可能会注意这些号码或网站是否是官方的 。如果他们不是,十有八九是骗子 。然而,无论一个人多么聪明,遇到一个有准备的骗子,也有可能被抓住 。现在有了史上模仿度最高的苹果官网 。这个网站看起来像apple.com 。肉眼几乎看不出什么区别,但确实是钓鱼网站 。好在这篇文章只是安全人员用来测试的,并不在坏人手里 。
知乎专栏《浅黑科技》最近发表了一篇文章,介绍了这样一个苹果模仿网站 。刚看到的时候,连钓鱼网站和苹果官网的区别都没看出来 。完全一样 。看完之后,真的很神奇 。幸好被网络安全人员研究过,没有被骗子利用 。否则,这种对官网和百度搜索引流的高度模仿将会带来灾难性的后果 。
在介绍它如何实现“完美伪装”之前,我们先来看看它可能有多危险 。
大多数人在浏览网站时,都会用肉眼观察网站的URL地址和地址旁边的安全标志来判断该网站是否是钓鱼网站 。
现在这个方法完全无效!只要攻击者做出像文章开头那样的淘宝或JD.COM等购物网站,甚至是银行官网,用户根本分辨不出来 。
目前这种方法只出现在Chrome、Firefox和Opera浏览器中 。但是,由于这三种浏览器的市场份额,这种钓鱼方式的危害不容小觑 。如果你使用的浏览器是三者之一,你可以点击演示网站亲自体验一下 。
你是怎么做到的?
这是一位名叫郑旭东的中国研究人员报道的一种捕鱼方法 。他在博客上发布了这个钓鱼方法后,很多外国网友都表示:“鹅妹!”
这种攻击称为同形攻击 。其实也不是什么新方法,最早可以追溯到2001年 。但是,由于一些现实,这个问题在很多浏览器中仍然存在 。
其原理如下:一些国家或地区会在其网站域名中使用一些“当地语言”,如希腊、西里尔和亚美尼亚 。虽然这些网站看起来一样,但电脑认为它们是不同的 。示例:
这里有三个看起来很像的字符:A,A,α,但是第一个是西里尔字母A,第二个是英语A,第三个是俄语α(数学题中的α) 。
虽然看起来都是A的,但电脑显然把他们当成了不同的角色 。
将文章开头的“苹果官网”网站与真实网站对比,会发现字母有些“缩小”,虽然肉眼几乎无法分辨 。
说白了,中文域名其实是一种“陌生的地方语言”,而“女孩”一词也是字母y的远房表亲 。
DNS服务器崩溃,这意味着:
我听不懂这些乱七八糟的方言 。
(注:DNS指域名解析,指通过网站域名解析网站服务器IP)
为了让DNS服务器能够理解这些方言,很多浏览器使用一种叫做punycode的编码方法,将一些陌生的本地语言翻译成网络DNS服务器能够理解的英文字符 。
示例:
由普尼柯德皈依的Penguin.com是xn-hoq754q.co 。
China.cn,由Punycode转换而来,是xn - fiqs8s 。通信网络(Communicating Net的缩写)
您会注意到punycode转码后的所有网站都以“xn-”开头 。
攻击者注册了一个名为xn - fiqs8s的域名 。cn,并将网址输入浏览器后,浏览器将自动恢复为“China.cn” 。
攻击者注册一个名称:http://http://xn-80ak6aa92e.com,输入浏览器后,浏览器会自动恢复到“apple.com”
于是就有了文章开头的那一幕 。
如何防范此类攻击?
原作者莫哥亲自测试,目前国内大部分浏览器都不存在这个问题,这是一个可喜的消息 。主要问题是谷歌Chrome、火狐和Opera 。
火狐用户可以按照以下步骤手动临时解除:
在地址栏中输入about:config,按Enter,在搜索框中输入punycode,将network.idn_show_punycode选项标记为“True” 。
谷歌浏览器用户可以安装一个名为punycode Alert的扩展,它将向所有网站发出这个问题的警报 。
戏曲浏览器,目前,莫哥还没有找到相应的技术解决方案 。
不过我建议在访问一些重要网站的时候,尽量手动输入网址,不要轻易点击超链接,因为你点击的每个网站都可能是假的,虽然看起来还行 。
最重要的一点是,你要意识到,以网址和浏览器的安全标识来判断一个网站的安全性,可能并不可靠 。为了安全上网,你必须依靠自己的决心 。
PS:只有原文提到的Chrome、火狐、Opera受到影响,官方浏览器不受影响 。我刚在自己的电脑上试过 。高仿苹果官网网站其实是复制到最新版本Chrome 69的假域名,不会被忽悠,而高仿苹果网站则在Firefox中展示 。
火狐会显示高仿域名 。
Chrome 69已经显示了真实的域名 。
另外国产浏览器在这方面确实做得不错,证明了Xiacheetah和360极速浏览器可以提示网站风险,其中360极速浏览器会有选择跳转到真正的苹果官网 。
【山寨手机回收平台推荐 高仿手机网站有哪些】也有一种不好的感觉,这种钓鱼方法以前可能局限在一个小圈子里,但被大规模报道后,别有用心的人肯定会寻找漏洞,以后可能会有更多的这种欺诈性的钓鱼方式 。
推荐阅读
- 外国朋友晒年终奖,星速约你一线吃瓜!
- 教师节送老师什么最好?
- 出类拔萃的萃是什么意思?
- 顺产需要多少钱费用 生小孩多少钱
- 飞机毛毯能带回去吗
- 如何正确的喝茶
- 新能源汽车发展趋势 新能源包括哪些能源
- 地球最富的10个国家 瑞典有多少人口
- 大雪有什么农事活动