小红说,看网址前面有没有https
小花说,看浏览器是不是有安全标识
对对对!你们说的都对,小盟的黑板没白敲。
开什么玩笑!地址准确无误、有安全标识、基于https加密传输,但,可不还是一个钓鱼网站。
这是什么障眼大法?
印象中,网址似乎都是英文字母和阿拉伯数字构成的。但是,除了这种通用流行的“普通话”,有些国家和地区也会用到“方言”。
比如三胞胎字母a、а、α 第一个是英文字母a 第二个是俄文字母а 第三个是希腊字母α虽然大家都表示“a”,但是计算机搞不懂你是讲普通话的还是说方言的,在它眼里,这堆字母就不是同一回事儿。
现在再来看前文提到的“苹果官网”,其实个别字母变小了,但是肉眼几乎无法察觉。
这是撞脸现象叫做“同形异义词”攻击,遇到中文也会犯尴尬,比如丫头的“丫”和字母“Y”就是一对难兄难弟。
DNS服务器(通过网站域名来指向网站服务器IP)表示很郁闷,“我一个解析域名的,你居然让我学方言?”
为了让DNS服务器能快速看懂五湖四海的方言,许多浏览器用一种叫punycode的编码方式把所有方言都翻译成一种格式固定的英文字符。
举个栗子安全联盟.org 转码后变成 xn--15qt0w41wxui.org
apple.com 转码后变成 xn—80ak6aa92e.com
用punycode编码后,网址都会变成“xn-”为开头的字符串。
于是,苹果的冒牌亲戚就出现了,黑客注册一个名为 xn—80ak6aa92e.com的网址后,输入到浏览器,便会自动还原为apple.com。
小盟手贱地在方言大军中翻找,也拼出来几个狗血的网址▼
百度远房表姐:ьаι d υ
淘宝庶出曾孙:таоьао
虽然一眼就能识破,但是明星撞脸都能眼花缭乱,这么多种方言还怕找不出几个长得像的?
危害不是一点半点
凡胎肉眼吊打钓鱼网站的方法就这样被毙掉了,如果黑客做出一个仿真淘宝、京东、亚马逊等购物网站,或者是银行官网,用户根本识别不了,登录信息、账户资金可怎么办?
据悉,这种方式仅在谷歌浏览器(Chrome)、火狐浏览器(Firefox)、欧朋浏览器(Opera)三款浏览器中出现,大部分国产浏览器都是安全的。介于这三款浏览器的市场占有率,咳咳,危害还是相当大的。
怎么防御这种钓鱼?
如果你是这三款浏览器的用户,小盟建议在访问重要网站时,尽可能用手动输入网址的方式打开,不要随意点击任何网址,更不要点击文字超链接。