聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
Phish.ai 团队开发并推出了一个谷歌 Chrome 扩展,当用户访问使用非标准 Unicode 字符拼写的域名时会警告用户警惕同形异义字攻击。
恶意人员通常使用这种有意拼写错误的域名诱骗用户访问钓鱼网站,从而收集用户凭证或诱骗受害者下载带有恶意软件的文件。
十多年前,ICANN 允许国际化域名名称注册,即通过 Unicode 字符拼写而成的多种语言和字母可以进行注册,使同形异义字攻击成为可能。
某些 Unicode 字符和标准的拉丁字符看起来相像。这种视觉上的相似性导致攻击者能够注册那些能欺骗不太注意 UR 字符串的用户。例如,用户必须非常仔细地查看 coinbase.com 才能看到 “i” 和 “a” 字符下方的小点。使用这些域名诱骗用户的行为被称为国际化域名 (IDN) 同形异义字攻击或 Unicode 攻击。
此类攻击在近年来变得越来越流行,光是去年就发生了多起事件。
某些浏览器通过 Punycode (基于 ASCII 的 Unicode 字符表示方式)替代 Unicode 字符的方式来对抗这种攻击。例如,一些浏览器如 Edge 或 Vivaldi 不显示 coinbase.com,而是显示 xn—conbse-zc8b7m.com,从而清楚地说明 URL 存在问题。
但是 Chrome 和火狐浏览器并不会默认显示 Punycode 版本。对于火狐浏览器而言,通过 Punycode 显示Unicode 域名要求用户在 about:config 部分切换标志旗。
而Chrome 会在主题栏而非地址栏中显示 URL 的 Punycode 版本。于是 Phish.ai 扩展在此就开始发挥作用,当用户试图访问包含 Unicode 字符的时候,就会显示一个大的红色窗口。这种出错信息和安全模式浏览的显示方式一致,都会拦截对网站的访问,强制用户做出响应并注意 URL 的异常。
Phish.AI IDN Protect Chrome 扩展的源代码已发布在 GitHub 上,用户也可从 Chrome Web Store 中找到并安装该扩展。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。