用Punycode進行SMiShing(SMS網(wǎng)絡(luò)釣魚)
責(zé)編:gltian |2018-06-15 13:37:51網(wǎng)絡(luò)犯罪分子想出提出新的方法來竊取用戶隱私數(shù)據(jù)并從中獲利。由于移動設(shè)備的流行和其功能的強大,使之正成為各種網(wǎng)絡(luò)攻擊的目標(biāo),而此前這些攻擊行為的對象僅限于計算機。
其中一種攻擊技術(shù)就是SMS網(wǎng)絡(luò)釣魚——SMiShing,其通過短信來發(fā)送攻擊。在SMiShing中,移動用戶會在短信或聊天應(yīng)用程序中接收到釣魚網(wǎng)站的鏈接,攻擊者會通過這些短信來引誘用戶點擊鏈接并輸入其個人信息。
Zscaler ThreatlabZ觀察到很多這種SMiShing攻擊都使用“Punycode”來使釣魚網(wǎng)址看起來更像是一個合法的網(wǎng)站URL,這種技術(shù)被稱為同形異義詞(Homograph)攻擊,攻擊者試圖通過將URL中的一個或多個字符替換為其他字符腳本中類似外觀的字符來達(dá)到欺騙用戶的目的。
以下的是我們在過去三個月內(nèi)觀測到的在移動設(shè)備上用Punycode進行網(wǎng)絡(luò)釣魚活動的URL的點擊率。
圖1. 從2018年3月1日到5月28日針對移動設(shè)備的SMiShing活動中的Punycode URL的點擊率
讓我們來看看最近的一個示例,該示例顯示了一個假裝成Jet Airways免費機票供給鏈接的WhatsApp消息。該鏈接的設(shè)計看起來像實際的jetairways.com網(wǎng)站,但它使用的是同形異義詞攻擊,其中使用了相似的字符來欺騙受害者。
圖2. 攻擊示例
如果仔細(xì)查看URL域名中的字符“i”,可以看到它是一個來自拉丁字符集的同形異義詞。更確切地說,它是一個Unicode字符“Latin small letter dotless I”(U + 0131),代替了“airways”中的字母“i”。
圖3. 對同形異義域標(biāo)簽進行解碼后的結(jié)果
如果用戶在iPhone上點擊了此鏈接,就會打開Safari Web瀏覽器并嘗試加載釣魚網(wǎng)站。注意這個URL看起來很像jetairways.com,因此對于用戶來說很難察覺它并不是真正的網(wǎng)站。
圖4. Safari瀏覽器打開釣魚網(wǎng)站后的效果
并非所有瀏覽器都平等對待IDN URL,在下面的圖片中,我們看到Android手機上的Google Chrome向用戶顯示的Punycode格式的URL。
圖5. 安卓手機上的Google Chrome瀏覽器顯示Punycode的URL,而不是IDN格式
Web瀏覽器根據(jù)不同情況來決定顯示IDN格式還是Punycode格式,例如URL中存在可能會欺騙分隔符的特定字符比如“.”或者“/”,則需要確定所有字符是否來自于同一種語言,是否屬于允許的組合,或著直接檢查該域名是否存在于白名單TLD之中。這里詳細(xì)介紹了這個算法,谷歌瀏覽器也采用了一套類似的規(guī)則,其次是Mozilla Firefox瀏覽器(詳情見這里)。瀏覽器可以根據(jù)分類的限制級別來進行抉擇 。
以下是常見Web瀏覽器對IDN域標(biāo)簽的不同反應(yīng)。
圖6. 常見Web瀏覽器對IDN域標(biāo)簽的不同反應(yīng)
回到我們之前的示例,如果我們在Domaintools上檢查這個域名的域名歷史記錄,它會顯示該域名是在前兩周內(nèi)新注冊的。
圖7. 域名注冊信息
這次釣魚攻擊的完整生命周期展示在以下的截圖中。
圖8. 網(wǎng)絡(luò)釣魚網(wǎng)頁截圖
我們可以看到,在受到釣魚頁面的攻擊后,受害者被重定向到了另一個域名:newuewfarben [.] com,該域被用來為惡意軟件提供服務(wù)。在測試時,并未發(fā)現(xiàn)這個URL的活動。
結(jié)論
SMiShing在2018年一直呈上升趨勢,同形異義技術(shù)的加入也將使其對不知情的移動用戶造成更大的危害。網(wǎng)頁瀏覽器已經(jīng)采取了對同形異義攻擊的保護措施,但由于Punycode字符的合法性,開發(fā)人員想要設(shè)計一個萬無一失的解決方案會非常困難,而攻擊者則可以利用這一點來解決規(guī)則并創(chuàng)建同形異義文檔,盡管本質(zhì)上它們是惡意的,但它們?nèi)钥梢訧DN的格式顯示。
Zscaler ThreatLabZ正在積極監(jiān)控此類攻擊,以確保Zscaler客戶受到保護。
用戶如何保護自己?
用戶在點擊任何通過短信或IM應(yīng)用程序共享的鏈接之前應(yīng)保持警惕,即使它們來自于一位可信的聯(lián)系人。IDN格式顯示由瀏覽器設(shè)計控制,最終用戶在控制如何顯示URL有局限性。主要和最有效的方法是利用密碼管理器在輸入密碼之前檢查URL,這可有效降低用戶向同形異義網(wǎng)址釣魚網(wǎng)站輸入憑證的機會。輔助檢查將有效檢測URL以查看是否有任何明顯的字符切換。
原文:https://www.anquanke.com/post/id/147104
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!