使用国际化域的网络钓鱼攻击很难阻止

Chrome和Firefox开发人员试图在显示国际化澳门游戏与保护用户免受网络钓鱼之间找到平衡点

露西·康斯坦丁/ IDGNS

本周早些时候发布的最新版本的Google Chrome浏览器限制了使用非拉丁字符的澳门游戏在浏览器中的显示方式。此更改是对最近公开的一项技术的回应,该技术可能允许攻击者创建高度可信的网络钓鱼网站。

注册由阿拉伯语,中文,西里尔字母,希伯来语,希伯来语和其他非拉丁字母中的字符组成的澳门游戏的能力可以追溯到十年前。自2009年以来,互联网名称与数字地址分配机构(ICANN)还批准了许多以此类字符编写的国际化顶级澳门游戏(TLD)-域扩展。

在澳门游戏系统(DNS)中(互联网的通讯录)使用时,国际化澳门游戏使用称为Punycode的系统转换为ASCII兼容形式。但是,当在支持Unicode的浏览器和其他应用程序中向用户显示时,它们会显示其预期的非拉丁字符,这使数十亿互联网用户可以使用其母语和脚本读取澳门游戏。

尽管这对于全球互联网的可用性非常有用,但是使用国际化澳门游戏确实会带来安全问题,因为某些字母包含的字符看上去与拉丁字母非常相似,并且可以滥用这些内容来欺骗URL。例如,西里尔字母和拉丁字母中的字母``a''在视觉上是相同的,即使它们是具有不同Unicode值的不同字符:U + 0430和U + 0061。

这种相似性使人们可以使用西里尔字母中的字母“ a”和拉丁字母中的其余字母来创建澳门游戏apple.com。如果浏览器将在地址栏中直观地显示这两个网站,则可以使用这种澳门游戏来建立一个钓鱼网站,很难与真实的钓鱼网站区分开。

为了防止这些所谓的同形异义词攻击,浏览器会执行一系列复杂的检查,以确定是否最好使用其预期的脚本来显示澳门游戏或使用Punycode来显示其等效项。他们执行的规则之一是,如果将拉丁,西里尔或希腊字符混合在一起,则将始终使用Punycode。

上面提到的apple.com域的Punycode版本(字母“ a”来自西里尔文)为:xn--pple-43d.com。这就是用户在浏览器地址栏中看到的内容。

但是,更进一步,一个名为Xudong Zheng的Web应用程序开发人员意识到,对于某些澳门游戏或品牌,可以用其他脚本中的外观相似的字母替换所有字母。例如,西里尔文(syrillic)中有相似的字词,表示单词apple中的所有字母。在这种情况下,上面的浏览器过滤器将不再适用,因为名称中没有混合脚本。

为了证明这一点,旭东最近注册了xn--80ak6aa92e.com域 并建立一个网站 在Windows和Linux上的Chrome,Firefox或Opera中打开时,其地址看上去几乎与apple.com相同。在macOS上,“ l”字符看起来有些不同,但仍然足够接近。

Xudong向浏览器供应商报告了此问题,Google于周三在Chrome 58中通过对其国际化澳门游戏(IDN)政策添加了另一条检查对其进行了修复。现在,如果浏览器的所有字符都是类似拉丁的西里尔字母,并且顶级澳门游戏不是国际化的澳门游戏,则浏览器将在Punycode中显示澳门游戏。这意味着该检查仅适用于传统的基于拉丁语的通用和国家/地区代码TLD,例如.com,.net,.org,.uk,.de等。

例如,xn--80ak6aa92e.xn--p1ai仍会像苹果一样在浏览器地址栏中显示,后跟用西里尔文编写的俄罗斯国际化国家代码TLD。

该检查与澳门游戏的脚本与TLD的脚本不匹配,这意味着xn--80ak6aa92e.xn--fiqs8s也可以使用,但与中国的国际化国家代码TLD匹配; xn--80ak6aa92e.xn--qxam用于希腊,xn--80ak6aa92e.xn--3e0b707e用于韩国,依此类推。这些域可能不适合对使用基于拉丁字母的国家/地区的用户发起网络钓鱼攻击,但对于使用不同脚本的用户而言,它们似乎合法。

Google Chrome IDN显示政策 已经由10种不同条件的不同支票组成,突显了涵盖所有可能滥用此类澳门游戏的难度。

Mozilla仍在考虑是否应采取任何行动来阻止Xudong的技术,但尚未得出最终结论。 有关其错误跟踪器的讨论 表明对于由谁负责防止此类攻击,人们存在强烈的反对意见。

有些人认为,全脚本同形异义词攻击(例如,用西里尔字母编写的apple.com案例)并不是浏览器应解决的问题。他们认为,责任应该落在品牌所有者身上,他们应该注册这些澳门游戏以保护自己的品牌,而澳门游戏注册机构应该在黑名单上建立黑名单,以防止用户注册可能滥用的澳门游戏。

Mozilla的政策工程师Gervase Markham, 发布了一个非正式的常见问题解答文件 解释了Firefox如何决定是否以正确的形式显示IDN,以及限制性更强的政策将带来什么影响。

不关心在预期脚本中看到IDN的Firefox用户可以手动强制浏览器始终以Punycode显示它们。可以通过在浏览器地址栏中键入about:config,找到网络IDN_show_punycode设置并将其值从false更改为true来完成。

使用IDN的同形文字攻击可能会继续存在,因为总会存在一些现有策略未涵盖的边缘情况。争论的焦点是,网络钓鱼者是否已经通过使用不依赖于完美欺骗的URL的简单技术已经获得了很多成功,是否值得牺牲大量用户的可用性。