如何使用Unicode域名進行網路釣魚攻擊？

如果我告訴你這可能是一個網路釣魚網站，你會相信嗎？來看下這個POC（https://www.xn--80ak6aa92e.com/）

Punycode是可以註冊具有外來字元的域名，它是通過將單個域標籤轉換為僅使用ASCII字元的替代格式來工作。例如，域「xn--s7y.co」等效於「短.co」。

從安全形度來說，Unicode域可能是有問題的，因為許多Unicode字元難以與常見的ASCII字元區分開來。可以註冊諸如「xn--pple-43d.com」的域，這相當於「аpple.com」。乍看起來可能不是很明顯，但是「аpple.com」使用 Cyrillic（U + 0430）而不是ASCII「a」（U + 0041）。這被稱為同源攻擊。

幸運的是，現代瀏覽器通常都具有限制IDN同形體攻擊的機制。 Google Chrome瀏覽器中的頁面IDN突出顯示了以其原生Unicode格式顯示IDN的條件。在Chrome和Firefox中，如果域標籤包含來自多種不同語言的字元，Unicode表單將被隱藏。如上所述的「аpple.com」域將作為「xn--pple-43d.com」以其「Punycode」形式出現，以限制與「apple.com」的混淆。

但不幸的是，當每個字元都被替換為單一外語的類似字元時，Chrome（和Firefox的）同形異義保護機制其實是失敗的。註冊為「xn--80ak6aa92e.com」的域「арр?е.com」只能使用Cyrillic字元繞過過濾器。你可以使用Chrome或Firefox在POC中自我檢驗。在許多情況下，Chrome和Firefox中的字體使這兩個域在視覺上無法區分。在不仔細檢查網站的URL或SSL證書的情況下，是無法將該網站識別為欺詐。這個程序很好地展示了兩組人物之間的區別，Internet Explorer和Safari則幸運的並不容易受到攻擊。

截圖：Chrome，Firefox，Firefox SSL

這個問題是在2017年1月20日被報告給Chrome和Firefox，並於3月24日在Chrome 59（當前在Canary）的中繼線被修復。Chrome團隊自此決定將修補程序包含在Chrome 58中，應該可以在4月25日左右發布，但Firefox仍然未解決這個問題，因為這一問題的具體範圍仍然未定。 Bugzilla將問題最初標記為「RESOLVED」和「WONTFIX」，儘管它已被重新進行了解讀，並且被公開，但他們仍然只是給出了「sec-low」關鍵字。

我們的IDN威脅模式特別排除了全部腳本同形異義，因為它們無法以編程方式進行檢測，我們的「TLD白名單」方法在面對大量新TLD時並未進行擴展。如果你在沒有適當的防欺詐保護（如.com）的註冊表中購買域，那麼可能需要感到遺憾的是，域名的所有者有責任檢查整個腳本的同形異義並進行註冊。

目前Firefox用戶可以通過以下方式限制他們對此漏洞的訪問：配置並將network.IDN_show_punycode設置為true。這將迫使Firefox始終以其「Punycode」形式顯示IDN域，從而可以識別惡意域名。

事實上還有一個簡單的方式來限制這種問題的損害——就是始終使用密碼管理器。 一般來說，用戶必須非常小心，並在輸入個人信息時注意URL。 我希望Firefox會考慮實施這個問題的解決方案，因為即使是那些非常注意網路釣魚的人也會引起嚴重的混淆。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！