CopyRight©2020-2030 www.poppur.com
“神奇”钓鱼网站,肉眼难分真假
给你看一个假的苹果官网,如果能用肉眼看出端倪,算我输!
域名正确,浏览器安全认证(证明网站信息基于https加密传输),这个网站看上去完全没问题呀。可是,这真的是一个假的苹果官网。不过这是安全人员做出的演示网站,不会对盗取你的信息。大家可以点击这里来玩一玩。
从上图的对比中我们可以看到,演示的伪造苹果官网和真的苹果官网一模一样,单凭肉眼是无法辨别出真伪的,一个不小心就有可能被套取个人资料甚至是金钱。那么究竟这是如何实现的呢?根据网络安全专家Xudong Zheng的介绍,这种攻击手法主要是利用浏览器辨认Punycode字符的相关漏洞来实现的。正常来说,当将Unicode转换成ASCII时,浏览器理应会显示出不同的网址,而该漏洞却会浏览器显示出相同的网址。比如说,如果将域名“xn—80ak6aa92e.com”伪造成苹果官网“www.apple.com”时,将它粘贴到IE浏览器或者Safari时依旧会显示“xn—80ak6aa92e.com”,而由于浏览器出现漏洞,将它贴到Chrome浏览器时会显示“www.apple.com”,这样黑客就能神不知鬼不觉地作恶了。
解决方案
目前已知出现该漏洞的浏览器为Chrome、Firefox以及Opera浏览器。而事件被曝光之后,谷歌已经迅速修复了该漏洞,大家只需要将Chrome浏览器更新到最新的V58版本即可。而Firefox方面则没有明确表示何时会修复漏洞,不过我们可以手动解决该问题。请大家按照以下步骤进行操作(Opera用户好自为之...)
首先在网均栏中输入【about:config】
然后搜索【Punycode】
找到【IDN_show_punycode】参数后双击将false改为true即可
上一篇:无需密码和签名,万事达智能信用卡用指纹即可完成付款
下一篇:广州警方强势推出微警认证App,出门终于不用带身份证了!