這或許是用肉眼最難分辨的釣魚(yú)網(wǎng)站，沒(méi)有之一，不信你試試，能看出端倪嗎？

 

網(wǎng)站的 URL 地址顯示的是蘋(píng)果官網(wǎng)，網(wǎng)址旁邊是安全字樣和綠色小鎖，表示網(wǎng)站信息基于 https 加密傳輸，完全沒(méi)什么問(wèn)題，然而它就是一個(gè)釣魚(yú)網(wǎng)站（演示網(wǎng)站）。

在介紹它是如何做到“完美偽裝”之前，先來(lái)看看它可能有多危險(xiǎn)。

據(jù)雷鋒網(wǎng)了解，大部分人在瀏覽網(wǎng)站時(shí)，都會(huì)用肉眼來(lái)觀察網(wǎng)站的URL地址，以及地址旁邊的安全標(biāo)識(shí)來(lái)判斷網(wǎng)站是否是釣魚(yú)網(wǎng)站。

現(xiàn)在這種方法完全失效了！只要攻擊者做出一個(gè)類(lèi)似文章開(kāi)頭那樣的淘寶或者京東之類(lèi)的購(gòu)物網(wǎng)站，甚至是銀行官網(wǎng)，用戶(hù)根本無(wú)從辨別。

目前該方式僅在 Chrome、火狐以及 Opera 三款瀏覽器中出現(xiàn)。不過(guò)介于這三款瀏覽器的市場(chǎng)占用率，這種釣魚(yú)方式的危害依然不可小覷。如果你使用的瀏覽器是這三者之一，可以 點(diǎn)擊演示網(wǎng)站 親身體驗(yàn)一下。

如何做到的？

據(jù)雷鋒網(wǎng)了解，這是一位名叫鄭旭東（讀音）的中國(guó)研究人員報(bào)告的一種釣魚(yú)方法。他在自己的博客發(fā)布這一釣魚(yú)方式后，不少?lài)?guó)外網(wǎng)友都紛紛表示：“ 鵝妹子嚶！”

這種攻擊方式稱(chēng)為“同形異義詞”攻擊。其實(shí)并不是新方法，最早能追溯到2001年。不過(guò)由于一些現(xiàn)實(shí)情況，該問(wèn)題目前依然存在于不少瀏覽器。

它的原理是這樣的：有些國(guó)家或地區(qū)的網(wǎng)站域名會(huì)用到一些“地方語(yǔ)言”，比如希臘、西里爾、亞美尼亞，這些網(wǎng)址看起來(lái)雖然一樣，但是電腦卻認(rèn)為不同。例如：

這里有三個(gè)看起來(lái)差不多的字符 ：ａ、a、α ，但是第一個(gè)是西里爾文的 ａ，第二個(gè)是英文里的 a、第三個(gè)是俄文里的 α （數(shù)學(xué)題里的阿爾法）

雖然看起來(lái)都是 A，但計(jì)算機(jī)顯然把它們當(dāng)成不同的字符來(lái)對(duì)待。 

相信不少讀者和宅客一樣，腦補(bǔ)出了這樣一個(gè)畫(huà)面：

【孫楠、楊臣剛、王大治】

再把文章開(kāi)頭的“蘋(píng)果官網(wǎng)”的網(wǎng)址和真正的網(wǎng)站來(lái)對(duì)比著看，你會(huì)發(fā)現(xiàn)，字母有些“縮小”了，雖然用肉眼幾乎無(wú)法辨別出來(lái)。

說(shuō)起來(lái)，中文域名其實(shí)也算是一種“奇奇怪怪的地方語(yǔ)言”，“丫頭”的丫字也是字母 Y 的遠(yuǎn)房表親 。

DNS 服務(wù)器很崩潰，它表示：

我可搞不懂這些亂七八糟的“方言”。

（注：DNS 即域名解析，通過(guò)網(wǎng)站域名來(lái)指向網(wǎng)站服務(wù)器IP）

為了讓 DNS服務(wù)器能看懂這些“方言”，許多瀏覽器用一種叫 punycode 的編碼方式， 把一些奇奇怪怪的“地方語(yǔ)言”翻譯成網(wǎng)絡(luò) DNS服務(wù)器能懂的英文字符。

例如：

企鵝.com，用 Punycode 轉(zhuǎn)換后為：xn--hoq754q. co

中國(guó).cn，用 Punycode 轉(zhuǎn)換后為：xn--fiqs8s. cn

你會(huì)注意到，punycode 轉(zhuǎn)碼之后的網(wǎng)站都會(huì)以“xn- ” 作為它的開(kāi)頭。

攻擊者注冊(cè)一個(gè)名為：xn--fiqs8s. cn 的域名，網(wǎng)址輸入到瀏覽器之后，瀏覽器會(huì)自動(dòng)還原成 “中國(guó).cn ”。

攻擊者注冊(cè)一個(gè)名為：xn--80ak6aa92e.com ，輸入到瀏覽器之后，瀏覽器會(huì)自動(dòng)還原成 “apple.com” 

于是也就有了文章開(kāi)頭的一幕。

基于這種方法，宅客頻道試了試，用幾個(gè)俄文，似乎也能拼出一個(gè) таоьао （淘寶的遠(yuǎn)房表親）

雖然上面的 таоьао 一看就能分辨出是假的，但全世界有幾千種文字，就不怕挑不出來(lái)個(gè)長(zhǎng)得像的。

如何提防這種攻擊？

雷鋒網(wǎng)編輯親測(cè)，目前大部分國(guó)產(chǎn)瀏覽器是不存在該問(wèn)題的，這是個(gè)令人欣喜的消息。問(wèn)題主要存在于谷歌瀏覽器（Chrome）、火狐瀏覽器（Firefox）、歐朋瀏覽器（Opera）。

Firefox 用戶(hù)可以按照以下的步驟來(lái)手動(dòng)將暫時(shí)緩解：

在地址欄輸入about:config ，按回車(chē)，在搜索框輸入 punycode，將 network.idn_show_punycode 選項(xiàng)標(biāo)記為 “True"。

谷歌瀏覽器用戶(hù)可以安裝一個(gè)名為：punycode Alert 的拓展插件，它會(huì)對(duì)所有存在該問(wèn)題的網(wǎng)站進(jìn)行報(bào)警。

Opera 瀏覽器的話，目前雷鋒網(wǎng)宅客頻道沒(méi)有找到相應(yīng)的技術(shù)解決方案。

不過(guò)雷鋒網(wǎng)建議，在訪問(wèn)一些重要的網(wǎng)站時(shí)，盡量用手動(dòng)輸入網(wǎng)址的方式訪問(wèn)，不要輕易點(diǎn)擊超鏈接，因?yàn)槟泓c(diǎn)進(jìn)去的每一個(gè)網(wǎng)站都可能是假的，雖然看起來(lái)沒(méi)問(wèn)題。

最重要的一點(diǎn)是你要認(rèn)識(shí)到，用網(wǎng)址和瀏覽器的安全標(biāo)識(shí)來(lái)判斷網(wǎng)站的安全性，未必靠譜。這年頭上網(wǎng)要安全，還得靠自己的分辨力。

來(lái)，再看一遍，你能分辨出這是個(gè)假的蘋(píng)果官網(wǎng)嗎？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。