今年4月,纽约的安全爱好者郑旭东发现这是一些现代浏览器处理域名方式的缺陷。而火狐,歌剧已经有了安全措施来提示用户他们可能正在访问一个他们认为是合法的目的地,当时这些浏览器没有标记一个假域名,这些假域名使用的都是来自另一种外语的拉丁相似字符。郑和在创作并注册了一个概念验证(PoC)网址为аррӏе.com,是用纯西里尔字母写的。

什么是同形攻击?

同形攻击是一种欺骗方法,威胁行动者利用字符脚本的相似性,创建并注册现有的虚假域名,愚弄用户并引诱他们访问。这种攻击有一些已知的别名:同形攻击、脚本欺骗和同形域名欺骗Characters-i.e。,letters and numbers—that look alike are calledhomoglyphs同形异义词这就是这次攻击的名称。例如,拉丁小写字母O (U+006F)和数字零(U+0030)。假设,有人可能会注意到bl00mberg.comg00gle.com然后逃脱惩罚。但在当今时代,这种简单的字符互换很容易被发现。

在一个国际化域名(IDN)同形攻击,威胁行动者使用至少一个来自不同语言的相似字符创建和注册一个或多个假域。再一次假设,人们可能会注意到gοοgle.com,但在此之前,将拉丁小写字母O (U+006F)与希腊小写字母Omicron (U+03BF)互换。

郑的PoC是另一个IDN同形攻击的例子,所以让我们列出他使用的每一个字符,来说明这种特殊的攻击是如何非常成功和危险的,如果在野外使用。有趣的是,操作系统选择的字体可能会让用户在视觉上区分非拉丁字符和拉丁字符变得容易或困难。

表1:我们使用Segoe UI,这里是微软的系统字体。

在人类看来,这些西里尔文字很容易与它们的拉丁对应文字混淆。然而,从分配给计算机的不同十六进制代码可以看出,计算机对这些易混淆的东西的解读是不同的。

表2:我们使用旧金山,这里是苹果全系统的字体。值得注意的是,OSX区分了西里尔字母Palochka和拉丁字母L;但不能显示拉丁小写字母L与拉丁大写字母I的区别,如文中“西里尔小写字母Ie”所示。

根据这个错误报告,似乎就连Linux的全系统字体也无法区分易混淆的字符。

对于域名来说,使用全西里尔字母(或任何其他非拉丁字符)并不是问题所在。国际互联网域名使世界各地的互联网用户能够使用他们的母语脚本创建和访问域名。问题在于,当这些符号被滥用来欺骗互联网用户时。

这是一种新的网络威胁吗?

同形攻击已经存在多年了。据我们所知,章子怡的《微博》是第一个登上头条并引发网民热议的微博。

下面是同形域的其他例子,以及它们是如何使用的:

  • 为了提高意识,一个安全顾问强调了常见的误解通过注册一个虚假的劳埃德银行网站,并添加SSL证书,使其看起来和真实的一样合法,有时拉丁大写字母I (U+0049)看起来像拉丁小写字母L (U+006C)。
  • NTT安全公司的安全研究员分享他的经验关于他的一个朋友收到了几封包含该域名的谷歌Analytics垃圾邮件,秘密[点]ɢoogle点com.这里的“ɢ”不是拉丁大写字母G (U+0047),而是拉丁小写字母G (U+0262)。
  • NewSky安全公司的安全研究员发现一个假冒的Adobe网站提供Betabot恶意软件,假装是一个Adobe Flash Player安装文件。威胁行动者使用“Dot”下面的拉丁小写字母B (U+1E05)替换“adobe.com”中的拉丁小写字母B (U+0062)。

这和排版有什么不同?

虽然typosquatting也使用视觉技巧来欺骗用户,但它严重依赖于用户在地址栏中输入错误的URL,因此,它的名称中的“typo”。

所有的同形攻击都只是钓鱼攻击吗?

不一定。虽然同形图攻击通常涉及网络钓鱼,但威胁行为者可能会为了其他欺诈目的创建虚假但可信的网站,或将恶意软件引入用户系统,就像我们前面提到的虚假Adobe网站的情况一样。

在这个关于IDN同形攻击的深入报道我们在赛门铁克(Symantec)的朋友注意到,他们发现的几个同源域名要么是恶意广告网络的一部分,要么承载着exploit工具包和恶意移动应用程序,要么是由僵尸网络生成的。

我们如何保护自己免受同形词攻击?

已经创建了浏览器工具,如Punycode Alert和Quero工具栏,以帮助用户提醒他们潜在的同形图攻击。用户可以自行决定是否采用它们以及当前浏览器中的内置安全机制。然而,没有任何工具可以取代警惕,当浏览在线和一个可靠的网络安全卫生.这包括:

  • 定期更新你的浏览器(它们可能是你抵御同形攻击的第一道防线)
  • 确认你的合法网站有EVC
  • 尤其要避免点击来自电子邮件、聊天信息和其他公开内容的链接社交媒体网站,而没有确保可见的链接确实是真正的目的地。

记住:睁着眼睛。

保持安全!

额外的阅读(s):

资源: