網絡釣魚能讓堅定的技術擁躉抓狂。一次錯誤點擊,可能就是幾千萬的金錢損失,或者造成公司數據泄露。而且,網絡釣魚進化頻繁。
最近出現的一個例子就是,狡猾的新漏洞利用程序,可以讓惡意網絡釣魚網站具備與已知可信網站一模一樣的URL。
現在大家都知道要檢查瀏覽器地址欄的綠色小鎖頭,看看是否啟用了TLS加密。看到這個小鎖頭,你就知道沒人能竊聽你提交的任何數據了——這對金融和醫療網站而言是一個特別重要的考量。但是,能夠冒充合法URL并繪制小鎖頭的惡意網站,就幾乎不會給出你正在訪問冒充者的任何提示了。
同形異義字
該漏洞利用了很多域名沒有使用拉丁字母(比如中國漢字或斯拉夫語)的事實。基于英文的瀏覽器遇到這些URL時,會用Punycode域名編碼,從在線文本標準Unicode維護的標準字符編碼庫中,對每個字符進行渲染。這個轉換過程就被攻擊者利用了。
網絡釣魚者可以給出看起來很熟悉但實際上指向不同URL和Web服務器的域名。因為站點看起來可信,誘騙用戶加載了虛假頁面的攻擊者,可以更容易地說服他們回答問題或提供個人信息。
此類URL字符操縱行為,被稱為同形異義字攻擊,而且數年前便出現了。互聯網網絡號分配機構之類的組織與瀏覽器開發商合作,創建包括Punycode自身在內的防御機制,讓URL欺騙更難進行。
但是,該攻擊的新變體層出不窮。Web開發者鄭旭東(音)在今年1月向谷歌和Mozilla報告了該漏洞利用,并于上周五進行了公開演示,創建了虛假Apple.com網站,在沒打補丁的瀏覽器中看起來就是合法安全網站。
蘋果Safari、微軟Edge和IE對此攻擊有了防護。本周放出的Chrome版本59也修復了該漏洞。但火狐開發商Mozilla還在衡量是否要發布補丁。該公司尚未就評論請求做出回復。
在此之前,你可以通過復制粘貼URL到文本編輯器中,來檢查網站的有效性。冒充的URL僅僅是看起來熟悉,實際上卻用的是以“www.xn--”開頭的地址,在瀏覽器地址欄外面就能看到。比如說,鄭旭東演示的虛假蘋果網站,其地址就是 https://www.xn--80ak6aa92e.com。想要讓這個地址獲得“https”安全可信狀態,鄭旭東需要做的,僅僅是從 Let’s Encrypt 這樣的實體申請TLS加密。
在地址欄輸入“about:config”,出現的屬性列表中搜索“network.IDN_show_punycode” ,右鍵點擊唯一的搜索結果,選擇第一個菜單項“Toggle”,將偏好值從默認的“false”改為“true”。
去釣魚吧
鑒于網絡漁夫對www.app1e.com之類域名的鐘愛,Punycode招數看起來似乎攻擊效力強大。但網絡釣魚研究和防御公司PhishMe首席技術官艾倫·西格比稱,他的公司并未發現該騙術的任何野生實例。該公司檢查過的暗網預制網絡釣魚工具包中,也沒有發現任何用于執行該騙術的工具。
這并不是說此漏洞利用就真的銷聲匿跡了,可能只是網絡漁夫覺得這招不太可靠而已。因為瀏覽器自動填充機制和口令管理器不會自動補全被冒充的網站。即便用戶沒發現,此類工具也知道URL不對勁。
總會有種針對每個網絡釣魚技術的技術性控制,而該控制措施最終也會被騙。網絡釣魚的生存空間就在于此。
隨著該攻擊方式的公開,其使用可能會迎來一波激增,對更具創造性版本的進一步研究也會增加。因此,在Chrome更新之前,盯緊自己的URL,以及網站試圖呈現給你的任何詭異的東西。
京公網安備 11010502049343號