亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

網(wǎng)絡(luò)犯罪分子想出提出新的方法來(lái)竊取用戶(hù)隱私數(shù)據(jù)并從中獲利。由于移動(dòng)設(shè)備的流行和其功能的強(qiáng)大，使之正成為各種網(wǎng)絡(luò)攻擊的目標(biāo)，而此前這些攻擊行為的對(duì)象僅限于計(jì)算機(jī)。

其中一種攻擊技術(shù)就是SMS網(wǎng)絡(luò)釣魚(yú)——SMiShing，其通過(guò)短信來(lái)發(fā)送攻擊。在SMiShing中，移動(dòng)用戶(hù)會(huì)在短信或聊天應(yīng)用程序中接收到釣魚(yú)網(wǎng)站的鏈接，攻擊者會(huì)通過(guò)這些短信來(lái)引誘用戶(hù)點(diǎn)擊鏈接并輸入其個(gè)人信息。

Zscaler ThreatlabZ觀察到很多這種SMiShing攻擊都使用“Punycode”來(lái)使釣魚(yú)網(wǎng)址看起來(lái)更像是一個(gè)合法的網(wǎng)站URL，這種技術(shù)被稱(chēng)為同形異義詞（Homograph）攻擊，攻擊者試圖通過(guò)將URL中的一個(gè)或多個(gè)字符替換為其他字符腳本中類(lèi)似外觀的字符來(lái)達(dá)到欺騙用戶(hù)的目的。

以下的是我們?cè)谶^(guò)去三個(gè)月內(nèi)觀測(cè)到的在移動(dòng)設(shè)備上用Punycode進(jìn)行網(wǎng)絡(luò)釣魚(yú)活動(dòng)的URL的點(diǎn)擊率。

圖1. 從2018年3月1日到5月28日針對(duì)移動(dòng)設(shè)備的SMiShing活動(dòng)中的Punycode URL的點(diǎn)擊率

讓我們來(lái)看看最近的一個(gè)示例，該示例顯示了一個(gè)假裝成Jet Airways免費(fèi)機(jī)票供給鏈接的WhatsApp消息。該鏈接的設(shè)計(jì)看起來(lái)像實(shí)際的jetairways.com網(wǎng)站，但它使用的是同形異義詞攻擊，其中使用了相似的字符來(lái)欺騙受害者。

圖2. 攻擊示例

如果仔細(xì)查看URL域名中的字符“i”，可以看到它是一個(gè)來(lái)自拉丁字符集的同形異義詞。更確切地說(shuō)，它是一個(gè)Unicode字符“Latin small letter dotless I”（U + 0131），代替了“airways”中的字母“i”。

圖3. 對(duì)同形異義域標(biāo)簽進(jìn)行解碼后的結(jié)果

如果用戶(hù)在iPhone上點(diǎn)擊了此鏈接，就會(huì)打開(kāi)Safari Web瀏覽器并嘗試加載釣魚(yú)網(wǎng)站。注意這個(gè)URL看起來(lái)很像jetairways.com，因此對(duì)于用戶(hù)來(lái)說(shuō)很難察覺(jué)它并不是真正的網(wǎng)站。

圖4. Safari瀏覽器打開(kāi)釣魚(yú)網(wǎng)站后的效果

并非所有瀏覽器都平等對(duì)待IDN URL，在下面的圖片中，我們看到Android手機(jī)上的Google Chrome向用戶(hù)顯示的Punycode格式的URL。

圖5. 安卓手機(jī)上的Google Chrome瀏覽器顯示Punycode的URL，而不是IDN格式

Web瀏覽器根據(jù)不同情況來(lái)決定顯示IDN格式還是Punycode格式，例如URL中存在可能會(huì)欺騙分隔符的特定字符比如“.”或者“/”，則需要確定所有字符是否來(lái)自于同一種語(yǔ)言，是否屬于允許的組合，或著直接檢查該域名是否存在于白名單TLD之中。這里詳細(xì)介紹了這個(gè)算法，谷歌瀏覽器也采用了一套類(lèi)似的規(guī)則，其次是Mozilla Firefox瀏覽器（詳情見(jiàn)這里）。瀏覽器可以根據(jù)分類(lèi)的限制級(jí)別來(lái)進(jìn)行抉擇 。

以下是常見(jiàn)Web瀏覽器對(duì)IDN域標(biāo)簽的不同反應(yīng)。

圖6. 常見(jiàn)Web瀏覽器對(duì)IDN域標(biāo)簽的不同反應(yīng)

回到我們之前的示例，如果我們?cè)贒omaintools上檢查這個(gè)域名的域名歷史記錄，它會(huì)顯示該域名是在前兩周內(nèi)新注冊(cè)的。

圖7. 域名注冊(cè)信息

這次釣魚(yú)攻擊的完整生命周期展示在以下的截圖中。

圖8. 網(wǎng)絡(luò)釣魚(yú)網(wǎng)頁(yè)截圖

我們可以看到，在受到釣魚(yú)頁(yè)面的攻擊后，受害者被重定向到了另一個(gè)域名：newuewfarben [.] com，該域被用來(lái)為惡意軟件提供服務(wù)。在測(cè)試時(shí)，并未發(fā)現(xiàn)這個(gè)URL的活動(dòng)。

結(jié)論

SMiShing在2018年一直呈上升趨勢(shì)，同形異義技術(shù)的加入也將使其對(duì)不知情的移動(dòng)用戶(hù)造成更大的危害。網(wǎng)頁(yè)瀏覽器已經(jīng)采取了對(duì)同形異義攻擊的保護(hù)措施，但由于Punycode字符的合法性，開(kāi)發(fā)人員想要設(shè)計(jì)一個(gè)萬(wàn)無(wú)一失的解決方案會(huì)非常困難，而攻擊者則可以利用這一點(diǎn)來(lái)解決規(guī)則并創(chuàng)建同形異義文檔，盡管本質(zhì)上它們是惡意的，但它們?nèi)钥梢訧DN的格式顯示。
Zscaler ThreatLabZ正在積極監(jiān)控此類(lèi)攻擊，以確保Zscaler客戶(hù)受到保護(hù)。

用戶(hù)如何保護(hù)自己？

用戶(hù)在點(diǎn)擊任何通過(guò)短信或IM應(yīng)用程序共享的鏈接之前應(yīng)保持警惕，即使它們來(lái)自于一位可信的聯(lián)系人。IDN格式顯示由瀏覽器設(shè)計(jì)控制，最終用戶(hù)在控制如何顯示URL有局限性。主要和最有效的方法是利用密碼管理器在輸入密碼之前檢查URL，這可有效降低用戶(hù)向同形異義網(wǎng)址釣魚(yú)網(wǎng)站輸入憑證的機(jī)會(huì)。輔助檢查將有效檢測(cè)URL以查看是否有任何明顯的字符切換。

原文：https://www.anquanke.com/post/id/147104