2017年4月24日星期一

預防 Unicode 釣魚網站

究竟 apple 及 аррӏе 有甚麼分別 ?
看不清楚 ? 可以放大數倍看清楚

放大後
apple, аррӏе
還是沒有分別 ? 閣下會按哪一個超連結 ?
https://www.apple.com/, https://www.аррӏе.com/
一個是蘋果公司的官方網站
另一個則是釣魚網站,但這個釣魚網站是為了測試閣下的瀏覽器有沒潛在危險

資料來源
https://www.xudongz.com/blog/2017/idn-phishing/

根據測試者的資料
網頁使用「國際化域名 Internationalized Domain Name (IDN)」讓網站能支援非英文字元的符號
雖然域名是不能重覆,但使用相似符號便不受限制,而且能夠誘騙瀏覽者以為瀏覽正常網站
測試網站的 https://www.аррӏе.com/ 是使用了「IDN 攻擊」將看似與 https://www.apple.com/ 的網站用其他字元裝扮而成
apple 的 unicode 為 U+0061, U+0070, U+0070, U+006C, U+0065
аррӏе 的 unicode 為 U+0430, U+0440, U+0440, U+04CF, U+0435
測試網站域名 аррӏе 實際是使用「西里爾字母」,而非英文字母,但在視覺上與英文字母差不多相同

根據測試者的結果
Safari 預設會自動將非英文字母的域名轉換回「Punycode
Internet Explore 雖然根據系統語言設定,但仍有潛在危險
但 Firefox, Chrome, Opera 預設不會,會直接以 unicode 文字顯示域名
Chrome 在版本58 修正成會轉換域名
Firefox 則保留設定權於使用者修正
Opera 則暫時沒有任何解決方法
在下亦測試 Konqueror, Edge 會自動將域名轉換

由於 Firefox 能讓使用者自行設定,以下是 Firefox 的設定操作

見下文
在 Firefox 網址列輸入
about:config
並同意修改 Firefox 設定

見下文
在搜尋列輸入 network.IDN_show_punycode 並將設定值改為 true 便可將非英文字母的域名轉換回 punycode

沒有留言 :

發佈留言