Phish.ai 团队开发并推出了一个谷歌 Chrome 扩展,当用户访问使用非标准 Unicode 字符拼写的域名时会警告用户警惕同形异义字攻击。

恶意人员通常使用这种有意拼写错误的域名诱骗用户访问钓鱼网站,从而收集用户凭证或诱骗受害者下载带有恶意软件的文件。

同形异义字攻击的原理

十多年前,ICANN 允许国际化域名名称注册,即通过 Unicode 字符拼写而成的多种语言和字母可以进行注册,使同形异义字攻击成为可能。

某些 Unicode 字符和标准的拉丁字符看起来相像。这种视觉上的相似性导致攻击者能够注册那些能欺骗不太注意 UR 字符串的用户。例如,用户必须非常仔细地查看 coinbase.com 才能看到 “i” 和 “a” 字符下方的小点。使用这些域名诱骗用户的行为被称为国际化域名 (IDN) 同形异义字攻击或 Unicode 攻击。

此类攻击在近年来变得越来越流行,光是去年就发生了多起事件。

某些浏览器能更好地保护用户

某些浏览器通过 Punycode (基于 ASCII 的 Unicode 字符表示方式)替代 Unicode 字符的方式来对抗这种攻击。例如,一些浏览器如 Edge 或 Vivaldi 不显示 coinbase.com,而是显示 xn―conbse-zc8b7m.com,从而清楚地说明 URL 存在问题。

但是 Chrome 和火狐浏览器并不会默认显示 Punycode 版本。对于火狐浏览器而言,通过 Punycode 显示Unicode 域名要求用户在 about:config 部分切换标志旗。

而Chrome 会在主题栏而非地址栏中显示 URL 的 Punycode 版本。于是 Phish.ai 扩展在此就开始发挥作用,当用户试图访问包含 Unicode 字符的时候,就会显示一个大的红色窗口。这种出错信息和安全模式浏览的显示方式一致,都会拦截对网站的访问,强制用户做出响应并注意 URL 的异常。

Phish.AI IDN Protect Chrome 扩展的源代码已发布在 GitHub 上,用户也可从 Chrome Web Store 中找到并安装该扩展。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。