专栏首页京程一灯我想给你介绍一个假的苹果网站

我想给你介绍一个假的苹果网站

这或许是用肉眼最难分辨的钓鱼网站,没有之一。

不信你试试,能看出端倪吗?

网站的 URL 地址显示的是苹果官网,网址旁边是安全字样和绿色小锁,表示网站信息基于 https 加密传输,完全没什么问题,然而它就是一个钓鱼网站(演示网站)。

在介绍它是如何做到“完美伪装”之前,先来看看它可能有多危险。

据宅客频道了解,大部分人在浏览网站时,都会用肉眼来观察网站的URL地址,以及地址旁边的安全标识来判断网站是否是钓鱼网站。

现在这种方法完全失效了!只要攻击者做出一个类似文章开头那样的淘宝或者京东之类的购物网站,甚至是银行官网,用户根本无从辨别。

目前该方式仅在 Chrome、火狐以及 Opera 三款浏览器中出现。不过介于这三款浏览器的市场占用率,这种钓鱼方式的危害依然不可小觑。

如果你使用的浏览器是这三者之一,可以输入这个网址亲身体验一下:

xn--80ak6aa92e.com

如何做到的?

据宅客频道了解,这是一位名叫徐正东(读音)的中国研究人员报告的一种钓鱼方法。他在自己的博客发布这一钓鱼方式后,不少国外网友都纷纷表示:“ 鹅妹子嘤!”

这种攻击方式称为“同形异义词”攻击。其实并不是新方法,最早能追溯到2001年。不过由于一些现实情况,该问题目前依然存在于不少浏览器。

它的原理是这样的:在希腊、西里尔、亚美尼亚这样的国家,他们的网址域名会用到一些“地方语言”,这时网址看起来虽然一样,但是电脑认为不同。例如:

这里有三个看起来差不多的字符 :a、a、α ,但是第一个是西里尔语里的 a,第二个是英文里的 a、第三个是俄文里的 α (数学题里的阿尔法) 虽然看起来都是 A,但计算机显然把它们当成不同的字符来对待。

相信不少读者和宅客一样,脑补出了这样一个画面:

【孙楠、杨臣刚、王大治】

再把文章开头的“苹果官网”的网址和真正的网站来对比着看,你会发现,字母有些“缩小”了,虽然用肉眼几乎无法辨别出来。

说起来,中文域名其实也算是一种“奇奇怪怪的地方语言”,“丫头”的丫字也是字母 Y 的远房表亲 。

DNS 服务器很崩溃,它表示:

老子可看不懂这些乱七八糟的“方言”,它表示很崩溃。

(注:DNS 即域名解析,通过网站域名来指向网站服务器IP)

为了让 DNS服务器能看懂这些“方言”,许多浏览器用一种叫 punycode 的编码方式, 把一些奇奇怪怪的“地方语言”翻译成网络 DNS服务器能懂的英文字符。

例如:

企鹅.com,用 Punycode 转换后为:xn--hoq754q. co 中国.cn,用 Punycode 转换后为:xn--fiqs8s. cn

你会注意到,punycode 转码之后的网站都会以“xn- ” 作为它的开头。

攻击者注册一个名为:xn--fiqs8s. cn 的域名,网址输入到浏览器之后,浏览器会自动还原成 “中国.cn ”。 攻击者注册一个名为:xn--80ak6aa92e.com ,输入到浏览器之后,浏览器会自动还原成 “apple.com”

于是也就有了文章开头的一幕。

基于这种方法,宅客频道试了试,用几个俄文,似乎也能拼出一个

http:// таоьао.com

(淘宝的远房表亲)

虽然上面的 таоьао 一看就能分辨出是假的,但全世界有几千种文字,就不怕挑不出来个长得像的。

如何提防这种攻击?

宅客亲测,目前大部分国产浏览器是不存在该问题的,这是个令人欣喜的消息。问题主要存在于谷歌浏览器(Chrome)、火狐浏览器(Firefox)、欧朋浏览器(Opera)存在该问题。

Firefox 用户可以按照以下的步骤来手动将暂时缓解:

在地址栏输入about:config ,按回车,在搜索框输入 punycode,将 network.idn_show_punycode 选项标记为 “True"。

谷歌浏览器用户可以安装一个名为:punycode Alert 的拓展插件,它会对所有存在该问题的网站进行报警。

Opera 浏览器的话,目前宅客频道没有找到相应的技术解决方案。

不过宅客频道建议,在访问一些重要的网站时,尽量用手动输入网址的方式访问,不要轻易点击超链接,因为你点进去的每一个网站都可能是假的,虽然看起来没问题。

最重要的一点是你要认识到,用网址和浏览器的安全标识来判断网站的安全性,未必靠谱。这年头上网要安全,还得靠自己的分辨力。

来,再看一遍,你能分辨出这是个假的苹果官网吗?

本文分享自微信公众号 - 京程一灯(jingchengyideng),作者:志佳老师

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-05-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 使用 Node.js 和 Express.js 搭建简易 HTTP/2 服务器

    自从 1975 年左右使用 TCP/IP 协议的现代互联网诞生至今已经过了惊人的41年了。在它生涯的大部分时间里,我们使用 HTTP 以及它的继任者 HTTP/...

    疯狂的技术宅
  • 网页色彩死抠指南

    网页色彩的使用方式有很多。而我认为,但凡用一件东西,懂得其原理肯定大有裨益。网页色彩也不例外。现在就来死抠一下网页色彩的究竟吧。

    疯狂的技术宅
  • 使用 HTTPS 部署你的站点势在必行

    如果你有一个站点,或者近期你正在考虑部署自己的站点,那么你有必要考虑使用 HTTPS 来武装你的网站了。

    疯狂的技术宅
  • LL-HLS的演进

    本文来自THEO网站的博客文章,原标题为LL-HLS Series: The Evloution of LL-HLS。主要内容为讨论低延迟HLS系列。

    用户1324186
  • DCL单例模式你不知道的秘密

    当new一个对象时,每一次new都是创建一个新的对象,而单例模式就是无论怎么样去获取一个对象,永远都是拿到的同一个对象。

    大猫的Java笔记
  • Android中Window的管理深入讲解

    Window 表示一个窗口的概念,是一个抽象的概念,每一个 Window 都对应一个 View 和一个 ViewRootImpl,Window 和 View 通...

    砸漏
  • findById引发的Java泛型思考

    在Android中最头痛的就是不停的findById需要不停的进行类型转换,那么怎么实现在findById的时候直接设置转换后的类型呢?

    大话swift
  • GDAL入门-使用GDAL进行遥感影像NDVI的计算(C++版本)

    不知道该怎么详细地写,直接上代码算了! (开发环境的搭建参考我的博文:GDAL开发环境搭建(VS2010 C++版))

    卡尔曼和玻尔兹曼谁曼
  • Global文件的作用

    1.Session_Start()和Session_End(). 2.进程外的Session不会触发Session_End()事件 3.重点:Applica...

    静心物语313
  • 从前端到后端的全链路性能优化详解?是的你没看错!

    性能是大型网站的一个要素,影响性能的因素非常多。随着业务量的逐步增长,对系统的挑战越来越大,系统的容量瓶颈也越来越明显。

    博文视点Broadview

扫码关注云+社区

领取腾讯云代金券