技術(shù)宅

現(xiàn)在網(wǎng)上有很多的釣魚網(wǎng)站，不過大多是模仿網(wǎng)銀或者一些官網(wǎng)的頁面，然后再使用一些容易混淆的域名來讓我們中招。隨著這些釣魚網(wǎng)站伎倆不斷被曝光，現(xiàn)在大家?guī)缀醵伎梢暂p松進(jìn)行判別了。不過近日網(wǎng)上出現(xiàn)一種新型的釣魚網(wǎng)站，它使用了和被假冒網(wǎng)站幾乎一樣的域名，讓人真假難辨。讓我們來揭秘它偽裝的原理，并了解下對這類釣魚網(wǎng)站應(yīng)該如何安全防范。

釣魚網(wǎng)站 這樣識別遠(yuǎn)遠(yuǎn)不夠

說到釣魚網(wǎng)站，這類網(wǎng)站慣用的伎倆是使用“李鬼域名+模仿頁面”的方式迷惑我們，比如之前很多釣魚網(wǎng)站使用www.ta0bao.com（使用0代替O）來假冒淘寶網(wǎng)站。這類釣魚網(wǎng)站和正規(guī)網(wǎng)站相比，一是域名不同，我們只要認(rèn)真查看即可辨別，二是沒有使用https開頭加密網(wǎng)址（圖1）。

因此對于釣魚網(wǎng)站的識別，我們主要是通過“查看域名”和“是否有加鎖標(biāo)記”來進(jìn)行甄別的。這種方法看似有效，但是近日出現(xiàn)的新型釣魚網(wǎng)站則讓上述判斷標(biāo)準(zhǔn)形同虛設(shè)。因?yàn)獒烎~者制作了一個幾乎和官方網(wǎng)站一樣的域名（域名極度相似且使用https加密），比如一位安全專家制作的“www.apple.com”假冒蘋果頁面，這個網(wǎng)站不僅域名和蘋果官網(wǎng)幾乎完全一樣，而且同樣使用https加密。這種釣魚網(wǎng)站是不是會讓很多人上當(dāng)（圖2）？

以假亂真 揭開釣魚網(wǎng)站背后的秘密

如上所述，安全專家建立的蘋果釣魚網(wǎng)站從域名和加密鏈接上幾乎達(dá)到以假亂真的地步。那么這個釣魚網(wǎng)站是怎么做到的？

我們平時上網(wǎng)都是在瀏覽器直接輸入網(wǎng)站域名，比如訪問百度就直接輸入www.baidu.com，然后這個域名是通過域名服務(wù)器解析到百度的IP地址。這里的域名服務(wù)器就類似中轉(zhuǎn)站，它將人們不好記憶的IP地址和容易記憶的域名關(guān)聯(lián)起來，從而讓人們上網(wǎng)更方便（圖3）。

不過大家應(yīng)該知道世界上官方語言有很多種，比如希臘語、法語、英語等，這樣一些國家的網(wǎng)址就會包含各自母語里的字母，而其中不少語言的字母看上去非常相似，比如a（西里爾文的a）、a（英文字母a）、α（俄文里的α阿爾法）這三個字母，看起來是不是非常相似？不過對于電腦來說，它們卻是完全不同的三個字母。如果使用西里爾文的人們設(shè)計(jì)一個類似www.a.com的網(wǎng)址，那么它和英語國家的www.a.com網(wǎng)址看起來就沒有什么區(qū)別。這樣DNS域名服務(wù)器在解析這些“多胞胎”域名時就會顯得“很迷?！?，因?yàn)樗膊辉趺捶值们宄@些域名的實(shí)際區(qū)別。

所以為了讓不同語言的域名都可以快速解析，瀏覽器就引入了一種名為“Punycode”的編碼方式，它的主要功能就是將這些不同國家的語言母語“翻譯”成DNS服務(wù)器都能看懂的英文字符。比如在瀏覽器地址欄輸入“人民網(wǎng).中國”，DNS服務(wù)器會將其通過Punycode編碼轉(zhuǎn)換為類似“xn--gmq282eogn.xn--fiqs8s/”這樣的英文網(wǎng)址頁面，我們在QQ瀏覽器地址欄輸入“人民網(wǎng).中國”顯示的即為轉(zhuǎn)換后的英文網(wǎng)址（圖4）。

DNS服務(wù)器通過“翻譯”各地官方語言，這樣可以讓世界人民都能夠直接輸入自己的母語域名來上網(wǎng)。不過這也帶來一個問題。因?yàn)橐恍g覽器如Chrome、Firefox與Opera，由于存在Punycode編碼漏洞，導(dǎo)致我們在這些瀏覽器輸入地方語言域名時，在其地址欄不會直接顯示轉(zhuǎn)換后的英文網(wǎng)址，而仍然還是顯示地方語言，這樣一些釣魚網(wǎng)站就故意使用那些容易讓人混淆的字符作為釣魚域名。比如上例中的“www.арр？е.com”這個域名，實(shí)際上其中的“а、р、？、е”均不是蘋果單詞里對應(yīng)的“a、p、l、e”，大家可以將這兩組字母均復(fù)制到Excel中的一行，然后使用條件格式的“突出顯示單元格的規(guī)則→重復(fù)值”，可以看到這八個字母均不重復(fù)。這也意味著實(shí)際上“арр？е”和真正的蘋果“apple”是完全不同的兩個域名，只是看起來非常類似，但我們根本無法通過肉眼進(jìn)行分別（圖5）。

這樣釣魚攻擊者通過制作一個和官網(wǎng)非常類似的域名，然后再模仿官網(wǎng)的頁面，并且申請一個免費(fèi)加密證書頁面，這樣很多人就會毫無戒心地進(jìn)入釣魚網(wǎng)站，從而使自己的財(cái)產(chǎn)受到損失。

拒絕釣魚 我們要這樣做

可以看到日前瀏覽器曝出的Punycode編碼漏洞，能夠讓攻擊者制作出以假亂真的官網(wǎng)，幸好目前影響的只是用戶較少的Chrome、Firefox與Opera用戶。那么作為用戶應(yīng)該怎樣進(jìn)行防范？

一方面，我們應(yīng)該隨時關(guān)注類似安全漏洞的新聞，在發(fā)現(xiàn)瀏覽器有類似的安全隱患時要及時升級瀏覽器或做出相應(yīng)的安全設(shè)置。比如Chrome用戶升級到新版后就可以防止這個漏洞，火狐用戶則可以在地址欄中輸入about：config，然后在搜索欄中輸入“Punycode”，接著在瀏覽器選中顯示參數(shù)”network.IDN_ show_“Punycode”的“值”，雙擊將其改為“true”即可（圖6）。

另一方面，對于常用的網(wǎng)銀等網(wǎng)址，建議在百度搜索后將顯示為官網(wǎng)的網(wǎng)址添加到收藏夾，以后通過收藏夾進(jìn)入，而不是點(diǎn)擊鏈接或者輸入網(wǎng)址進(jìn)入，這樣可以有效避免釣魚網(wǎng)站的攻擊。