压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網絡犯罪分子想出提出新的方法來竊取用戶隱私數據并從中獲利。由于移動設備的流行和其功能的強大，使之正成為各種網絡攻擊的目標，而此前這些攻擊行為的對象僅限于計算機。

其中一種攻擊技術就是SMS網絡釣魚——SMiShing，其通過短信來發送攻擊。在SMiShing中，移動用戶會在短信或聊天應用程序中接收到釣魚網站的鏈接，攻擊者會通過這些短信來引誘用戶點擊鏈接并輸入其個人信息。

Zscaler ThreatlabZ觀察到很多這種SMiShing攻擊都使用“Punycode”來使釣魚網址看起來更像是一個合法的網站URL，這種技術被稱為同形異義詞（Homograph）攻擊，攻擊者試圖通過將URL中的一個或多個字符替換為其他字符腳本中類似外觀的字符來達到欺騙用戶的目的。

以下的是我們在過去三個月內觀測到的在移動設備上用Punycode進行網絡釣魚活動的URL的點擊率。

圖1. 從2018年3月1日到5月28日針對移動設備的SMiShing活動中的Punycode URL的點擊率

讓我們來看看最近的一個示例，該示例顯示了一個假裝成Jet Airways免費機票供給鏈接的WhatsApp消息。該鏈接的設計看起來像實際的jetairways.com網站，但它使用的是同形異義詞攻擊，其中使用了相似的字符來欺騙受害者。

圖2. 攻擊示例

如果仔細查看URL域名中的字符“i”，可以看到它是一個來自拉丁字符集的同形異義詞。更確切地說，它是一個Unicode字符“Latin small letter dotless I”（U + 0131），代替了“airways”中的字母“i”。

圖3. 對同形異義域標簽進行解碼后的結果

如果用戶在iPhone上點擊了此鏈接，就會打開Safari Web瀏覽器并嘗試加載釣魚網站。注意這個URL看起來很像jetairways.com，因此對于用戶來說很難察覺它并不是真正的網站。

圖4. Safari瀏覽器打開釣魚網站后的效果

并非所有瀏覽器都平等對待IDN URL，在下面的圖片中，我們看到Android手機上的Google Chrome向用戶顯示的Punycode格式的URL。

圖5. 安卓手機上的Google Chrome瀏覽器顯示Punycode的URL，而不是IDN格式

Web瀏覽器根據不同情況來決定顯示IDN格式還是Punycode格式，例如URL中存在可能會欺騙分隔符的特定字符比如“.”或者“/”，則需要確定所有字符是否來自于同一種語言，是否屬于允許的組合，或著直接檢查該域名是否存在于白名單TLD之中。這里詳細介紹了這個算法，谷歌瀏覽器也采用了一套類似的規則，其次是Mozilla Firefox瀏覽器（詳情見這里）。瀏覽器可以根據分類的限制級別來進行抉擇 。

以下是常見Web瀏覽器對IDN域標簽的不同反應。

圖6. 常見Web瀏覽器對IDN域標簽的不同反應

回到我們之前的示例，如果我們在Domaintools上檢查這個域名的域名歷史記錄，它會顯示該域名是在前兩周內新注冊的。

圖7. 域名注冊信息

這次釣魚攻擊的完整生命周期展示在以下的截圖中。

圖8. 網絡釣魚網頁截圖

我們可以看到，在受到釣魚頁面的攻擊后，受害者被重定向到了另一個域名：newuewfarben [.] com，該域被用來為惡意軟件提供服務。在測試時，并未發現這個URL的活動。

結論

SMiShing在2018年一直呈上升趨勢，同形異義技術的加入也將使其對不知情的移動用戶造成更大的危害。網頁瀏覽器已經采取了對同形異義攻擊的保護措施，但由于Punycode字符的合法性，開發人員想要設計一個萬無一失的解決方案會非常困難，而攻擊者則可以利用這一點來解決規則并創建同形異義文檔，盡管本質上它們是惡意的，但它們仍可以IDN的格式顯示。
Zscaler ThreatLabZ正在積極監控此類攻擊，以確保Zscaler客戶受到保護。

用戶如何保護自己？

用戶在點擊任何通過短信或IM應用程序共享的鏈接之前應保持警惕，即使它們來自于一位可信的聯系人。IDN格式顯示由瀏覽器設計控制，最終用戶在控制如何顯示URL有局限性。主要和最有效的方法是利用密碼管理器在輸入密碼之前檢查URL，這可有效降低用戶向同形異義網址釣魚網站輸入憑證的機會。輔助檢查將有效檢測URL以查看是否有任何明顯的字符切換。

原文：https://www.anquanke.com/post/id/147104