「同形異義字」釣魚攻擊，釘釘中招

*本文原創作者：expsky@MS509Team，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載，僅用於技術交流分享，禁止將相關技術應用到不當途徑

技術交流：allen.lan#hotmail.com（# > @）

同形異義字釣魚攻擊號稱「幾乎無法檢測」，是最狡猾的釣魚攻擊！這種攻擊產生的原因是國際化域名IDNs(Internationalized Domain Names)支持多語種域名，而其中一些非拉丁字元語種的字母與拉丁字元非常相似，字面看很難區分。關於

同形異義

字

釣魚攻擊的相關技術，freebuf上之前已有文章介紹，這裡就不再過多介紹這個技術，不清楚可以自行搜索.

0×01 騰訊、京東、支付寶、微博、淘寶已面臨同形異義字釣魚攻擊

真有這麼多網站面臨威脅？其實還不止，還有愛奇異、小米……

目前發現的威脅都是通過西里爾字母來進行混淆

上圖是

西里爾字母表

，我們可以發現有不少字母與拉丁字母相識，這就是為什麼用

西里爾字母來進行混淆的原因

瀏覽器會通過Punycode來編碼非拉丁字元的域名，編碼後就可以避免產生混淆，但發現如果域名的一個欄位里所有字元都是同一種語言，就不會進行編碼（之前freebuf上有篇文章可能是筆誤，關於這點剛好說反了）。據說這個問題chrome已經修復了，並且google還給相關發現者2000美金的獎勵。

但我還是發現chrome有時候編碼了，有時候又沒編碼

比如上面看到的「淘寶」，並沒有編碼。後面要講的釣魚攻擊對是否編碼已經不重要，所以現在就不用深究這個問題

我們先從

??.com開始

（這裡的

??.com

已不等於 jd.com了，是不是認不出來有什麼區別 ^_^）

我們嘗試註冊

??.com

，先

Punycode轉碼後再查詢

??.com

轉碼後 xn--e2a25a.com

在國內不允許註冊

Punycode轉碼後的域名

在國外的域名網站就可以正常查詢了，這裡顯示的not available是指已經被註冊了，而不是說

Punycode轉碼域名

不能註冊。之前獲得谷歌2000美金的安全人員就註冊過арр?е.com（xn--80ak6aa92e.com）這個域名

直接在瀏覽器中打開 ??.com （xn--e2a25a.com ）

目前域名還沒被解析，來到了域名服務商提供的默認頁面。

繼續點擊「了解如何才能擁有此域名」，可以看到明確說明此域名已經出售。

我們還可以再做個實驗：

xiami.com蝦米是阿里旗下的音樂網站，

我們查詢

西里爾字母的х?ам?.com，這個域名就沒有被註冊，顯示的available

х?ам?.com

轉碼後 xn--80ayza2ec.com

不是所有的英文字母都有與之相似對應的西里爾字母

我嘗試了一些可以用

西里爾字母

拼出的國內知名網站

??.com 轉碼後 xn--x7aa.com （騰訊）

??.com

轉碼後

xn--y7aa.com

（騰訊）

??.com

轉碼後 xn--e2a25a.com

（京東）

а??рау.com

轉碼後 xn--80aa1cn6g67a.com

（支付寶）

???у?.com

轉碼後 xn--s1a1bab69g.com

（愛奇藝）

ТаоЬао.com

轉碼後 xn--80aa5bbq6d.com

（淘寶）

?е?Ьо.com

轉碼後 xn--e1as5bzb58e.com

（微博）

?О.com

轉碼後 xn--n1a9b.com

（360搜索）

М?.com

轉碼後 xn--l1a6c.com

（小米）

顯示全部已被註冊

又嘗試了部分以上可以用大小寫混淆的形式

???у?.com

轉碼後 xn--s1a1bb53bvo.com

（愛奇藝）

???у?.com 轉碼後 xn--s1a1bab19g.com

（愛奇藝）

?????.com

轉碼後 xn--c2aaa96axr.com

（愛奇藝）

?е?Ьо.com

轉碼後 xn--e1as5bzb08e.com

（微博）

ТАОВАО.com

轉碼後 xn--80aaf1cct.com

（淘寶）

同樣顯示已被註冊

試了這麼多域名都被註冊了，可能我們會再次懷疑是系統問題或是巧合，我在上面的

ТАОВАО後面再加個

О試試

ТАОВА

О

О

.com

轉碼後 xn--80aaf1ccaw.com

這個域名就沒有被註冊了，所以不得不懷疑以上的域名是被刻意註冊的

上圖是

??.com（

xn--e2a25a.com

）的whois信息，whois信息被隱藏保護的，其他域名也類似或者提示無法顯示或者有相關信息也無法追溯，只

追溯到

一個域名是國內安全圈的老司機註冊的，這位可能是用來做研究

0×02 實施

同形異義字

釣魚攻擊，釘釘存在安全隱患

前面提到的chrome的漏洞就是瀏覽器地址欄沒有進行

Punycode

轉碼，導致相似的文字可能產生混淆，存在釣魚攻擊的威脅。

我們這裡不管google的這個漏洞有沒有修復，換一個攻擊思路：

一般內嵌手機APP的webview是沒有地址欄的，所以轉碼也好，沒轉碼也好，用戶是看不到網址的

這裡選了兩個手機端最常見的即時聊天APP：

微信

和

釘釘

用域名：

ТаоВао.com

轉碼後

xn--80aaf1cct.com

在我自己的iphone上進行了試驗：

在微信里，這樣的域名無論是否加http前綴都不會自動識別為url，所以也無法點擊。（像上面baidu.com識別為url的會顯示為藍色，就可以直接點擊打開）

然後再在釘釘里進行相同的嘗試

在釘釘里三種形式都自動識別為url，點擊後就可以直接打開網址

按住手機屏幕下拉可以看到當前的url為

xn--80aaf1cct.com 即

ТаоВао.com

也就是說

在釘釘里發起

同形異義字釣魚攻擊很難防範，存在很大的安全風險

。加之前面的分析，大量這樣的釣魚網址已被註冊，隨時可能面臨威脅

這裡就沒再對其他的APP做實驗，很可能或多或少都有這樣的問題

0×03 結尾

按照慣例總有個結尾，這次就只說一句，希望馬爸爸看到這篇文章，看是否也能給個獎勵.

*本文原創作者：expsky，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: