众推推 - 最专业的微信任务系统源码!

资讯热点
为了应对钓鱼网站 Chrome和Firefox浏览器在行动

发布时间:2019-10-27 分类: 行业资讯

钓鱼网址盛行终于有浏览器厂商愿意解决 凤凰科技讯 据福布斯北京时间4月18日在官网报道,Chrome和Firefox近期或将提供识别措施,帮助用户识别长期存在的钓鱼网站。以下为报道详细内容。 如果您点击Forbes.com的链接,您会希望自己自动转入《福布斯》的官方网站。但如果欺诈者想要窃取您的密码或信用卡信息,他们会向您显示一个虚假,但是看起来真实的网站链接。 以xn开头的网站地址等于向您的浏览器表明,其域名是使用Punycode((使用URL中的特定ASCII字符在浏览器中输出Unicode)进行编码的,可以显示“或“等字符。浏览器能够做到这一点,十分重要。因为很大一部分互联网用户不会说英语(或者不是他们的第一语言)。 但是这样,它也让网络犯罪分子能够进行所谓的同形异义攻击。欺骗浏览器所需要的只是一大堆字母,符号和数字。例如,如果攻击者想欺骗“福布斯“域名,他们可能会注册域名xn--0xa0vo267doa5di.com。 此时,Chrome和Firefox浏览器将会把那一串乱码显示为Forbes.com。诈骗者甚至可以申请““并且可能会被授予““Punycode名称的SSL证书。这意味着如果您点击了这种网络钓鱼链接,您不仅可以在地址栏中看到forbes.com,还可以看到绿色锁的图标,告诉您这个网站是安全的。安全提供商Wordfence在最近的博客文章中提供了以下案例来讨论这些攻击: 要明确的是,诈骗者通常并不会使用同形异义攻击《福布斯》的官方网站,毕竟,并不会给诈骗者带来大量利益。他们更喜欢让受害者“主动贡献“出自己的Paypal、Facebook、电子邮件帐户或信用卡号码的凭据。 这种看似聪明的网络钓鱼技术并不新鲜。同形异义攻击已经存在了十多年。由于Punycode在域名中的合法使用,人们都知晓,解决这一问题十分困难。幸运的是,Chrome和Firefox用户或许很快就会得到保护。  Chrome和Firefox浏览器的行动 谷歌已经在其Chrome浏览器的实验版本Chrome Canary中引入了更改。在几个月内,Canary中的变更通常就会推送给所有Chrome用户。当这个更改正式推出时,Chrome用户将被自动保护。 实际上,Firefox用户现在就可以实际启用保护。首先在地址栏中输入about:config,然后同意Firefox显示的警告。之后就会出现一个搜索框。在框中输入punycode,然后浏览器就会显示一行信息,network.IDN_show_punycode。默认情况下,其设置为false。双击这行信息会将其更改为true,这将让Firefox显示“xn--“的全部名称,而不是其伪装后的欺骗性编码。

« 黑客借大量摄像头等联网设备发动大规模互联网攻击 | 雅虎再回应扫描用户邮件事件:媒体报道具有误导性 »