-
-
[翻译]钓鱼攻击用Punycode的方式获取office 365的信任
-
发表于: 2017-4-18 11:23
-
作者:David Bisson
时间:2016/12/15
原文链接:Phishing Attack Uses Punycode to Try to Steal Office 365 Credentials
译者:阳春
计算机工业依靠美国的ASCII标准来表达人类语言。每个字母、数字或者特殊字符都用7-bit的二进制数字来表示。ASCII无法直接表示Unicode字符和很多的其它的影响到计算机工业统一标准的编码字符或者文本字符。因此,业界使用了Punycode方式来解决问题。这是一种使用ASCII字符表示Unicode字符的方式。举个例子,Punycode将“München”(Munich的德国名字)转为“Mnchen-3ya”。
Punycode很有价值,它允许域名注册者注册一个不在DNS使用的ASCII字符集中的域名。但是就像其它技术一样,这是把双刃剑。使用者可以善用它,比如注册一个包含了München的合法域名。但是他们也可以用它行恶。
滥用Punycode的常见方式是近似域名攻击。攻击者通过相似的含有Punycode的域名来欺骗用户。举个例子,ɢoogle.com看起来很像Google.com,但是只有英文字母那个跳转到知名搜索引擎。其它的重定向到恶意网站。
不过Punycode不仅仅用于欺骗用户,它也用于绕过一些用于保护用户的保护系统。
绕过钓鱼网站过滤器
Avanan发现了一个攻击,它不同之处在于欺骗微软的Office 365的默认钓鱼网站过滤器,试图骗取其信任。
这个攻击从一封假FedEx邮件开始。邮件里有个看起来正常实则会跳转到恶意网站的链接。
看起来很普通,是吧。
别着急。首先,微软的office 365分析了含有punycode链接的ASCII格式,不出意料确认这是个安全网站。
但是当链接使用Unicode解析时,它指向了恶意网站。
Avanan在博客中解释道:
“当解析域名xn--sicherheit-schlsseldienst-twc.de为普通ASCII时,它的ip为81.169.145.66(地址为德国柏林),不包含任何恶意内容。因此邮件允许用户在邮箱里查阅它。“
“但是当用户点击链接,浏览器将其转成了Unicode格式sicherheit-schlüsseldienst.de,这是不一样的IP:92.242.140.21(位置北爱尔兰的贝尔法斯特)。“
那是个假的微软office登录界面,它要求用户输入“企业邮箱“的账号密码。
结论
Punycode的使用使得这次攻击不同于其它基于邮件的攻击。即使如此,这依然是钓鱼诈骗。这意味着用户可以保护自己,不点击可疑链接,比如一个跳转到不熟悉地址的FedEx URL。当一个可疑的URL出现时,用户需要悬停它以确定它是否跳转到它说的地方。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
