留意網址有沒有 HTTPS 是識辨偽冒網站的簡單方法,不過現在沒這樣簡單了,因為有研究人員利用瀏覽器處理非 ASCII 字元域名的漏洞,示範如何建立一個冒充蘋果的釣魚網站,而且還加入了 SSL 憑證,不留神的話很易信以為真。
不法分子利用相似的字元製作魚目混珠的網址並非新鮮事,除了 0 和 0、1 和 l 之外,他們亦會利用其他不同語言但形狀相似的 Unicode 字母,例如拉丁字母 a (U+0041)和 西里爾字母 а(U+0430)。
針對後者情況,瀏覽器是有辨法應對。當網址的字元混雜 ASCII 和其他 Unicode 時,便會採用 Punycode 來展示。例如 短.co 會轉換成 xn--s7y.co;採用西里爾字母 а 的 аpple.com 會轉換成 xn--pple-43d.com。
網址全用非 ASCII 字元 Chrome、Firefox 無法轉換至 Punycode
不過有研究人員發現,當網址域名全部採用非 ASCII 字元時,瀏覽器的保護機制便會失效。當 apple.com 的 apple 全部改用西里爾字母 аррӏе.com 時,理論上會顯示 xn--80ak6aa92e.com,但 Chrome 和 Firefox 仍然顯示 аррӏе.com 。
。不過在我的 Windows 8.1 Firefox 瀏覽器中,只要留意狀態列便可察覺到異樣,аррӏе 的字型與 .com 特別不同。
▲把鼠標移動至 аррӏе.com 的連結時,可見 аррӏе 一字有異樣
由於兩款字元非常相似,人們難以分出真偽;如果網站再加上 HTTPS,人們便會以為是正當網站。所以不法分子可藉此製作高彷真度的釣魚網站。
Chrome 和 Firefox 已知悉事件。Chrome 將會於新的版本解決問題,但 Firefox 仍然未計劃修復。不過 Firefox 用戶可到 about:config 把network.IDN_show_punycode 設為 true 以強制顯示 Punycode。IE 和 Safari 則沒有問題。
▲雖然 IE 為人垢病,但它沒有這個問題。進入 аррӏе.com 時會自動轉至 Punycode
Source : Xudong Zheng
