使用国际化域名钓鱼攻击是很难块

Chrome和Firefox开发人员试图寻找出国际化域名,并保护用户免受网络钓鱼之间的平衡

CSO资深作家,IDG新闻服务 |

卢西恩·康斯坦丁/ IDGNS

最新版本的谷歌浏览器,本周早些时候公布,限制如何使用非拉丁字符的域名显示在浏览器中。这一变化是为了应对最近披露的技术,可以让攻击者能够创建高度可靠的钓鱼网站。

注册域名的能力,做出像那些在阿拉伯,中国,西里尔文,希伯来文等非拉丁字母的历史可以追溯到十多年来发现的字符组成。2009年以来,互联网公司的名称和号码分配机构(ICANN)还批准了大量的国际化顶级域名(TLD)的 - 这样的人物写的 - 域扩展。

测试图像亚光作为VAL p 测试

测试

互联网的地址簿 - - 当在域名系统(DNS)用于国际化域名是通过所谓的Punycode系统转换成ASCII兼容形式。然而,当显示到内浏览器和支持Unicode其他应用程序的用户,他们显示有其意非拉丁字符,从而有可能为几十亿的互联网用户以本国语言和文字阅读的域名。

Linux的抓屏应用 - Byzanz命令执行选项 阿罗拉人士Himanshu / IDG

插入没有放大此图片尺寸较大。

虽然这是伟大的全球互联网的可用性,使用国际化域名确实增强了安全性问题,因为一些字母包含看起来非常相似,拉丁字母和这可以被滥用来欺骗网址字符。例如,字母“a”西里尔和拉丁文字在视觉上是相同的,即使它们是不同的Unicode值不同的字符:U + 0430和U + 0061。

测试图像亚光作为VAL P 2 测试

测试 - 不使用。这其中确实有一个放大到原始图像

这种相似性将使得人们使用字母创建域名apple.com“一”从西里尔字母和拉丁字母休息。这样的域名可以用来建立一个钓鱼网站,将很难从真正的区别,如果浏览器将直观地展现apple.com两个在地址栏中。

为了避免这些所谓的同形异义攻击,浏览器执行一系列复杂的检查,以决定它是否最好使用自己的意欲脚本中显示域名或的Punycode显示及其等价物来代替。其中一个他们执行的规则是,如果拉丁字母,斯拉夫或希腊字母混合在一起,然后将Punycode码始终使用。

在apple.com域名的的Punycode版本上面提到的,其中字母“a”是西里尔文,将是:xn--pple-43d.com。这就是用户将在浏览器地址栏中看到。

不过,考虑的事情。此外,一个名为旭东郑Web应用程序的开发者意识到,对于一些域名或品牌,可以从不同的脚本视觉上相似的人来代替所有的字母。例如,有西里尔字母外形相似的chracters在字苹果所有的字母。在这种情况下,上面的浏览器过滤器将不再适用,因为没有在名称中没有混合脚本。

为了证明这一点,徐东最近注册的xn--80ak6aa92e.com域并建立了一个网站Chrome内,Firefox或Opera打开Windows和Linux上的时候,其地址看上去几乎相同apple.com。在MacOS的“L”字符看起来有点不同,但仍然足够接近。

旭东报道这个问题浏览器厂商和谷歌通过增加另一个检查,以它的国际化域名(IDN)政策固定它周三在Chrome 58。浏览器现在将显示的Punycode域名,如果他们所有的角色都酷似拉丁西里尔字母,如果顶级域名是不是一个国际化的一个。这意味着,检查只适用于传统的基于拉丁通用和国家代码顶级域名像.com,.net和.org和.UK,由Matchi.com提供回到等等。

例如,XN - 80ak6aa92e.xn - p1ai看上去依然像苹果其次是国际化的国家代码顶级域名对俄罗斯来说,这是写在西里尔浏览器地址栏中。

80ak6aa92e.xn - - 检测并不与顶级域名,这意味着XN的域名脚本匹配fiqs8s也适用,但与国际化国家代码顶级域名,为中国;这样做XN - 80ak6aa92e.xn - qxam希腊,XN - 80ak6aa92e.xn - 3e0b707e韩国等。这些域名可能不适合发动钓鱼在使用基于拉丁文的字母国家对用户的攻击,但看起来合法的使用不同的脚本的用户。

谷歌浏览器IDN显示策略已经由具有不同条件的10次不同的检查,强调它是如何极力掩盖此类域名的所有可能的滥用。

Mozilla基金会还在考虑是否应该采取任何行动阻止旭东的技术并没有达成最终结论。它的bug跟踪系统的讨论显示,有关于谁应该负责防止这类攻击强的反对意见。

一些人认为,整个脚本攻击同形词,如apple.com用西里尔字母写的情况下,是不是浏览器应该可以解决。他们觉得责任应该落在与品牌所有者谁应该注册这些域名来保护自己的品牌,并与谁应该有黑名单,以防止用户注册潜在的虐待域名域名注册商。

杰瓦斯·马克姆,在Mozilla的政策工程师,发布一个非官方的FAQ文档解释火狐如何决定是否显示在其适当的形式IDN和什么影响更严格的策略会有。

谁不关心国际化域名看到在他们的预期脚本可以手动强制浏览器中的Punycode总是显示他们Firefox用户。这可以通过关于输入法来完成:在浏览器地址栏中的配置,定位network.IDN_show_punycode设置,从错误改变其值设置为true。

使用IDN同形异义的攻击可能是在这里留下来,因为总是会有不包括在现有政策的一些边缘情况。这场辩论是风险是否值得牺牲可用性为大量的用户,由于网络钓鱼者已经有很多成功的与不依赖于完全伪造的URL简单的技术。

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

卢西恩·康斯坦丁是CSO的资深作家,涵盖信息安全,隐私和数据保护。

版权所有©2017年Raybet2

IT薪资调查:结果是