大多数网络钓鱼攻击都是通过给你一个假的网站链接,并且希望你能够输入自己的真实信息。通常情况下,这些假的网址很容易被检测到,不过,一位来自中国的研究人员通过一个恶搞的苹果网站来展示如何让假网站显示正确的苹果官网地址。
研究员郑旭东(音译)解释称,他主要通过 Unicode 字符来模仿 ASCII 字符。这到底是怎么回事呢?这位研究员注册了一个看起来跟“APPle.com”没什么两样的域名,乍一看可能不明显,但是他的“apple.com”中使用的 a 是西里尔语的 а,这就是所谓的同形异义字攻击。
据了解,Safari 浏览器并不会被这样的办法“欺骗”,但是 Chrome、Firefox 和 Opera 浏览器都会中招。对此,郑旭东还举了一个具体的例子,即我们开头所说的恶搞网站。
用户可以在多个浏览器中输入 https://www.xn--80ak6aa92e.com 这个网址,Safari 浏览器的地址栏中会显示我们看到的这个地址,而其他浏览器则会显示一个难辨真假的苹果网址。当然,这是一个完全安全的网址,Xudong Zheng 希望通过这个网站来证明自己的说法。
|
