新型钓鱼手段预警：你看到的 аррӏе.com 真是苹果官网？

研究人员发现一种“几乎无法检测”的新型钓鱼攻击，就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名（例如：苹果、谷歌或亚马逊等），窃取登录或金融凭证等敏感信息。

说到辨别钓鱼网站的最佳方式，我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS，然而，如果浏览器地址栏显示的是“www.аррӏе.com”，你是不是 100% 确信它是苹果官网呢？

△ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址，实际为域名“epic.com ”。

Punycode 网络钓鱼攻击

Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名（ IDN ）系统 ASCII（ AZ，0-9 ）有限字符集的特殊编码。例如，中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下，多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。

研究人员表示，上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实（如仅限中文或仅限日文），而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器（如 Chrome、Firefox 与 Opera ）上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ，并绕过保护措施。

换句话说，你以为看到的是苹果官网 “apple.com”，实际上它是网站“xn—80ak6aa92e.com”，也就是“epic.com”。不过，经过小编们的大胆尝试发现，这一钓鱼网址在微信上并不管用。

△ 网址一模一样是吧？然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接

不过，大家可以放心，IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。

Google 即将推出补丁，Mozilla 还在路上

据悉，研究人员已于今年 1 月向受影响浏览器厂商（包括 Google 与 Mozilla ）报告此问题。目前，Mozilla 仍在讨论解决方案，而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。

对此，安全专家建议用户在 Web 浏览器中禁用 Punycode 支持，并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。

Firefox 用户缓解措施（不适用于 Chrome 用户）

Firefox 用户可按照以下步骤手动申请临时缓解措施：

1. 在地址栏中输入 about:config，然后按Enter键。
2. 在搜索栏中输入 Punycode；
3. 浏览器设置将显示参数 IDN_show_punycode，通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。

然而，Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置，因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。

知道创宇 404 安全专家表示，倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位，很有可能导致重要信息外泄。对此，专家们建议广大网民访问重要网站时选择手动输入网址，不要轻易访问未知网站或电子邮件中提及的任何链接，以防中招。

原作者：Mohit Kumar

from hackernews.cc.thanks for it.