以假亂真的Punycode釣魚測試 360瀏覽器成功防御

　　最近，一種號(hào)稱“幾乎無法檢測”的釣魚網(wǎng)址攻擊方法被曝光。利用瀏覽器漏洞，黑客可以把釣魚網(wǎng)站的網(wǎng)址任意顯示為知名網(wǎng)站的官網(wǎng)地址，比如你看到的是網(wǎng)上銀行、網(wǎng)上支付或電子郵箱的官網(wǎng)地址，實(shí)際打開的卻是一個(gè)仿冒他們頁面的釣魚網(wǎng)站，輸入賬號(hào)密碼就會(huì)被盜!

　　這種攻擊方法名為Punycode釣魚，其實(shí)是利用瀏覽器對(duì)不同語言字符的轉(zhuǎn)化處理，制造的“同形異義字”偽裝。簡單地說，你在瀏覽器地址欄里看到的網(wǎng)址，并不是它真正的網(wǎng)址。究竟有哪些瀏覽器會(huì)受到Punycode釣魚影響呢，現(xiàn)在就讓我們對(duì)國內(nèi)外流行的六大瀏覽器進(jìn)行實(shí)戰(zhàn)測試，看看誰能夠火眼金睛發(fā)現(xiàn)釣魚網(wǎng)站!

　　以蘋果官網(wǎng)為例，【xn--80ak6aa92e.com】可以在有漏洞的瀏覽器上顯示為蘋果官網(wǎng)地址，我們分別用不同的瀏覽器進(jìn)行測試，結(jié)果如下：

　　一、Chrome瀏覽器，存在漏洞

　　地址欄顯示的是www.apple.com，但是頁面明顯不是蘋果官網(wǎng)，而是漏洞測試頁面。谷歌官方已經(jīng)表態(tài)將在本月晚些時(shí)候修復(fù)漏洞。

　　二、Firefox瀏覽器，存在漏洞

　　Firefox用戶可以手工屏蔽漏洞，解決方法：1、在瀏覽器地址欄中輸入about:config，并按回車鍵。2、在搜索欄中輸入Punycode。3、瀏覽器設(shè)置將顯示network.IDN_show_punycode參數(shù)，雙擊或者右鍵選擇Toggle，將值改為“True”。

　　三、360安全瀏覽器，成功防御

　　盡管默認(rèn)使用的是谷歌Chromium內(nèi)核，360安全瀏覽器卻沒有受到Punycode釣魚攻擊的影響，瀏覽器地址欄會(huì)顯示真實(shí)的網(wǎng)址。

　　四、搜狗瀏覽器，存在漏洞

　　同樣使用谷歌Chromium內(nèi)核的搜狗瀏覽器受到漏洞影響，瀏覽器地址欄會(huì)顯示蘋果官網(wǎng)地址，但打開的實(shí)際上是釣魚測試頁面。

　　五、Opera瀏覽器，存在漏洞

　　Opera同樣受到漏洞影響，需要等待產(chǎn)品升級(jí)解決。

　　六、IE瀏覽器，成功防御

　　令人吃驚的是，一向以速度慢、不安全而著稱的IE，竟然是表現(xiàn)最好的之一，它能夠直接提示W(wǎng)indows無法找到測試網(wǎng)址，請(qǐng)檢查拼寫是否正確。Punycode釣魚攻擊對(duì)IE用戶完全沒有影響。

　　綜合以上測試結(jié)果，360安全瀏覽器和IE成功防住了Punycode釣魚攻擊測試，用戶不必?fù)?dān)心上網(wǎng)訪問到以假亂真的釣魚網(wǎng)址。但是，其他四款國內(nèi)外比較流行的瀏覽器就紛紛中招了。其實(shí)還有些使用Chromium內(nèi)核的國產(chǎn)瀏覽器也受到此漏洞影響，受到篇幅限制，在此就不完全展開了，讀者們可以自行測試。

　　重要提示：在一些瀏覽器還沒有修復(fù)漏洞的情況下，最好是通過收藏夾或手工輸入網(wǎng)址上網(wǎng)，盡量避免通過超鏈接、短網(wǎng)址等方式訪問與財(cái)產(chǎn)、隱私相關(guān)的重要網(wǎng)站。