?

即使是最警惕的互聯(lián)網(wǎng)用戶，也容易受到國(guó)際化網(wǎng)域名稱（IDN）欺騙的影響

由于很狡詐地使用了同形異義詞，新一波的統(tǒng)一碼域名網(wǎng)絡(luò)釣魚攻擊甚至能夠欺騙經(jīng)驗(yàn)頗為豐富的互聯(lián)網(wǎng)老手。

對(duì)于這些不知道同形異義詞的人來說，同形異義指的是兩個(gè)或兩個(gè)以上的詞拼寫相似，但是意思和來源卻完全不同。在這種情形中，同形異義詞是一個(gè)不太完美的表述詞，但是足夠了。

為了執(zhí)行統(tǒng)一碼域名網(wǎng)絡(luò)釣魚攻擊，你首先需要一個(gè)統(tǒng)一碼域名。通常，你輸入的URL都是ASCII碼，這代表美國(guó)信息交換標(biāo)準(zhǔn)代碼。然而，2003年新增了一項(xiàng)規(guī)定，允許在域名中使用統(tǒng)一碼字符。統(tǒng)一碼是編碼文本的一個(gè)行業(yè)標(biāo)準(zhǔn)，而這種編碼文本是用世界上大多數(shù)書面語言來表達(dá)的。使用統(tǒng)一碼的目的是讓國(guó)際互聯(lián)網(wǎng)用戶也能夠用他們自己的語言跟隨鏈接。

但是，如同互聯(lián)網(wǎng)上的其他一切事情，一些人找到了能夠利用這一規(guī)定的方法。

去年，研究員鄭旭東發(fā)表了一個(gè)概念驗(yàn)證（https://www.xudongz.com/blog/2017/idn-phishing/）（POC），能夠突出說明這一問題。在POC中，鄭旭東使用統(tǒng)一碼生成了一個(gè)類似于Apple網(wǎng)頁的web網(wǎng)頁。為了達(dá)到這一目的，它利用能夠?qū)?guó)際化域名進(jìn)行轉(zhuǎn)碼的Punycode編碼系統(tǒng)創(chuàng)建了一個(gè)域名。然后他將統(tǒng)一碼和ASCII進(jìn)行了混合，來創(chuàng)建一個(gè)看起來是“Apple.com”的網(wǎng)站。

ASCII中的“A”（U+0061）是不同于西里爾字母里的“A”（U+0430）的，但是在瀏覽器的地址欄里，它們顯示的是一樣的?，F(xiàn)在，瀏覽器一般會(huì)顯示Punycode格式，以防止與真正的Apple.com進(jìn)行混淆。然而，鄭旭東發(fā)現(xiàn)，如果利用同一種語言中一個(gè)相似的字符來替代所有的字符，Chrome和Firefox瀏覽器中的防御機(jī)制都不能正常工作。

因此，當(dāng)鄭旭東在xn–80ak6aa92e.com上注冊(cè)了一個(gè)域名時(shí)，它繞過了瀏覽器過濾器，并在地址欄中顯示“Apple.com”。為了使他的概念驗(yàn)證更有說服力，鄭旭東在他的網(wǎng)址上安裝了一個(gè)SSL證書?，F(xiàn)在，它看起來像是Apple，并且擁有掛鎖標(biāo)志，因此它肯定是安全的，對(duì)嗎？

鄭旭東并沒有試圖復(fù)制Apple的主頁，因?yàn)樗皇菫榱诉M(jìn)行一個(gè)概念驗(yàn)證。但是老實(shí)說，這是一種真正的網(wǎng)絡(luò)釣魚攻擊，它會(huì)愚弄所有人。

不管怎樣，事實(shí)上這只是冰上一角。攻擊者還擁有許多其他可以利用統(tǒng)一碼的方法，從而達(dá)到制造同形異義詞攻擊的目的。

如何保護(hù)自身免受統(tǒng)一碼域名網(wǎng)絡(luò)釣魚攻擊？

如果你是一個(gè)谷歌用戶，你已經(jīng)安全了。谷歌在58版本中已經(jīng)解決了這一問題。

Firefox用戶只要在地址欄中輸入“about:config”，就可以阻止發(fā)生這種攻擊。然后，在搜索框中輸入“Punycode”。

如果更新的標(biāo)題network.IDN_show_puny_code的真值為假，雙擊它，直到它變?yōu)檎妗?/p>

這將能夠使你的瀏覽器顯示punycode，而不是它的ASCII表示法。

以下是其他一些安全建議：

使用一個(gè)密碼管理員——如果你使用的是一個(gè)統(tǒng)一碼域名，你的密碼管理員將不會(huì)受到愚弄。它也不會(huì)用你的數(shù)據(jù)填充登錄字段。而當(dāng)這一情況發(fā)生時(shí)，系統(tǒng)會(huì)出現(xiàn)一個(gè)嚴(yán)重的警告信息，提醒你注意你所訪問的頁面。

不要跟隨鏈接——一個(gè)鏈接要想愚弄你有許多方式，因此對(duì)于重要的業(yè)務(wù)，或社交媒體網(wǎng)站，總是手動(dòng)輸入U(xiǎn)RL。這樣，你就知道你正在定向到一個(gè)正確的域名。

打開雙因子驗(yàn)證（2FA）——2FA不能保護(hù)你的登錄憑證，但是如果你的登錄憑證被盜，它可以添加一個(gè)急需的安全層。每當(dāng)你登錄你的電子郵件賬戶時(shí)，都必須輸入一個(gè)代碼，這是一件十分痛苦的事，但是如果有人盜取了你的憑證，它將能夠保證你的賬戶安全。