釣魚網址盛行終于有瀏覽器廠商愿意解決

據福布斯北京時間4月18日在官網報道，Chrome和Firefox近期或將提供識別措施，幫助用戶識別長期存在的釣魚網站。以下為報道詳細內容。

如果您點擊Forbes.com的鏈接，您會希望自己自動轉入《福布斯》的官方網站。但如果欺詐者想要竊取您的密碼或信用卡信息，他們會向您顯示一個虛假，但是看起來真實的網站鏈接。

以xn開頭的網站地址等于向您的瀏覽器表明，其域名是使用Punycode（（使用URL中的特定ASCII字符在瀏覽器中輸出Unicode）進行編碼的，可以顯示或等字符。瀏覽器能夠做到這一點，十分重要。因為很大一部分互聯網用戶不會說英語（或者不是他們的第一語言）。

但是這樣，它也讓網絡犯罪分子能夠進行所謂的同形異義攻擊。欺騙瀏覽器所需要的只是一大堆字母，符號和數字。例如，如果攻擊者想欺騙“福布斯”域名，他們可能會注冊域名xn--0xa0vo267doa5di.com。

此時，Chrome和Firefox瀏覽器將會把那一串亂碼顯示為Forbes.com。詐騙者甚至可以申請——并且可能會被授予——Punycode名稱的SSL證書。這意味著如果您點擊了這種網絡釣魚鏈接，您不僅可以在地址欄中看到forbes.com，還可以看到綠色鎖的圖標，告訴您這個網站是安全的。安全提供商Wordfence在最近的博客文章中提供了以下案例來討論這些攻擊：

要明確的是，詐騙者通常并不會使用同形異義攻擊《福布斯》的官方網站，畢竟，并不會給詐騙者帶來大量利益。他們更喜歡讓受害者“主動貢獻”出自己的Paypal、Facebook、電子郵件帳戶或信用卡號碼的憑據。

這種看似聰明的網絡釣魚技術并不新鮮。同形異義攻擊已經存在了十多年。由于Punycode在域名中的合法使用，人們都知曉，解決這一問題十分困難。幸運的是，Chrome和Firefox用戶或許很快就會得到保護。

Chrome和Firefox瀏覽器的行動

谷歌已經在其Chrome瀏覽器的實驗版本Chrome Canary中引入了更改。在幾個月內，Canary中的變更通常就會推送給所有Chrome用戶。當這個更改正式推出時，Chrome用戶將被自動保護。

實際上，Firefox用戶現在就可以實際啟用保護。首先在地址欄中輸入about：config，然后同意Firefox顯示的警告。之后就會出現一個搜索框。在框中輸入punycode，然后瀏覽器就會顯示一行信息，network.IDN_show_punycode。默認情況下，其設置為false。雙擊這行信息會將其更改為true，這將讓Firefox顯示“xn--”的全部名稱，而不是其偽裝后的欺騙性編碼。