close
資訊保安

аррӏе.com 不是 apple.com! 瀏覽器處理非 ASCII 域名有漏洞釀釣魚風險

留意網址有沒有 HTTPS 是識辨偽冒網站的簡單方法,不過現在沒這樣簡單了,因為有研究人員利用瀏覽器處理非 ASCII 字元域名的漏洞,示範如何建立一個冒充蘋果的釣魚網站,而且還加入了 SSL 憑證,不留神的話很易信以為真。

不法分子利用相似的字元製作魚目混珠的網址並非新鮮事,除了 0 和 0、1 和 l 之外,他們亦會利用其他不同語言但形狀相似的 Unicode 字母,例如拉丁字母 a (U+0041)和 西里爾字母 а(U+0430)。

針對後者情況,瀏覽器是有辨法應對。當網址的字元混雜 ASCII 和其他 Unicode 時,便會採用 Punycode 來展示。例如 短.co 會轉換成 xn--s7y.co;採用西里爾字母 а 的 аpple.com 會轉換成 xn--pple-43d.com。

 

網址全用非 ASCII 字元 Chrome、Firefox 無法轉換至 Punycode

不過有研究人員發現,當網址域名全部採用非 ASCII 字元時,瀏覽器的保護機制便會失效。當 apple.com 的 apple 全部改用西里爾字母 аррӏе.com 時,理論上會顯示 xn--80ak6aa92e.com,但 Chrome 和 Firefox 仍然顯示 аррӏе.com 。
。不過在我的 Windows 8.1 Firefox 瀏覽器中,只要留意狀態列便可察覺到異樣,аррӏе 的字型與 .com 特別不同。

▲把鼠標移動至 аррӏе.com 的連結時,可見 аррӏе 一字有異樣

 

由於兩款字元非常相似,人們難以分出真偽;如果網站再加上 HTTPS,人們便會以為是正當網站。所以不法分子可藉此製作高彷真度的釣魚網站。

Chrome 和 Firefox 已知悉事件。Chrome 將會於新的版本解決問題,但 Firefox 仍然未計劃修復。不過 Firefox 用戶可到 about:config 把network.IDN_show_punycode 設為 true 以強制顯示 Punycode。IE 和 Safari 則沒有問題。

▲雖然 IE 為人垢病,但它沒有這個問題。進入 аррӏе.com 時會自動轉至 Punycode

 

 

Source : Xudong Zheng

 

Tags : phishing
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。