釣魚網(wǎng)址盛行終于有瀏覽器廠商愿意解決 鳳凰科技訊 據(jù)福布斯北京時間4月18日在官網(wǎng)報道，Chrome和Firefox近期或?qū)⑻峁┳R別措施，幫助用戶識別長期存在的釣魚網(wǎng)站。以下為報道詳細內(nèi)容。 如果您點擊Forbes.com的鏈接，您會希望自己自動轉(zhuǎn)入《福布斯》的官方網(wǎng)站。但如果欺詐者想要竊取您的密碼或信用卡信息，他們會向您顯示一個虛假，但是看起來真實的網(wǎng)站鏈接。 以xn開頭的網(wǎng)站地址等于向您的瀏覽器表明，其域名是使用Punycode((使用URL中的特定ASCII字符在瀏覽器中輸出Unicode)進行編碼的，可以顯示“或“等字符。瀏覽器能夠做到這一點，十分重要。因為很大一部分互聯(lián)網(wǎng)用戶不會說英語(或者不是他們的第一語言)。 但是這樣，它也讓網(wǎng)絡(luò)犯罪分子能夠進行所謂的同形異義攻擊。欺騙瀏覽器所需要的只是一大堆字母，符號和數(shù)字。例如，如果攻擊者想欺騙“福布斯“域名，他們可能會注冊域名xn--0xa0vo267doa5di.com。 此時，Chrome和Firefox瀏覽器將會把那一串亂碼顯示為Forbes.com。詐騙者甚至可以申請““并且可能會被授予““Punycode名稱的SSL證書。這意味著如果您點擊了這種網(wǎng)絡(luò)釣魚鏈接，您不僅可以在地址欄中看到forbes.com，還可以看到綠色鎖的圖標，告訴您這個網(wǎng)站是安全的。安全提供商Wordfence在最近的博客文章中提供了以下案例來討論這些攻擊： 要明確的是，詐騙者通常并不會使用同形異義攻擊《福布斯》的官方網(wǎng)站，畢竟，并不會給詐騙者帶來大量利益。他們更喜歡讓受害者“主動貢獻“出自己的Paypal、Facebook、電子郵件帳戶或信用卡號碼的憑據(jù)。 這種看似聰明的網(wǎng)絡(luò)釣魚技術(shù)并不新鮮。同形異義攻擊已經(jīng)存在了十多年。由于Punycode在域名中的合法使用，人們都知曉，解決這一問題十分困難。幸運的是，Chrome和Firefox用戶或許很快就會得到保護。　　Chrome和Firefox瀏覽器的行動 谷歌已經(jīng)在其Chrome瀏覽器的實驗版本Chrome Canary中引入了更改。在幾個月內(nèi)，Canary中的變更通常就會推送給所有Chrome用戶。當這個更改正式推出時，Chrome用戶將被自動保護。 實際上，F(xiàn)irefox用戶現(xiàn)在就可以實際啟用保護。首先在地址欄中輸入about：config，然后同意Firefox顯示的警告。之后就會出現(xiàn)一個搜索框。在框中輸入punycode，然后瀏覽器就會顯示一行信息，network.IDN_show_punycode。默認情況下，其設(shè)置為false。雙擊這行信息會將其更改為true，這將讓Firefox顯示“xn--“的全部名稱，而不是其偽裝后的欺騙性編碼。

« 黑客借大量攝像頭等聯(lián)網(wǎng)設(shè)備發(fā)動大規(guī)?；ヂ?lián)網(wǎng)攻擊 | 雅虎再回應(yīng)掃描用戶郵件事件：媒體報道具有誤導(dǎo)性 »