在開放的互聯網世界中各種詐騙隨處可見,而黑客最常用的手法是透過釣魚攻擊令人上當。至於近日有研究人員更發現一種新釣魚攻擊令人防不勝防,皆因黑客可以透過部份瀏覽器中的一個漏洞,再將虛假網址顯示成與官方網均一模一樣,單憑肉眼幾乎無法辨別出真偽,一不小心即有可能被騙取個人資料。
據中國網絡保安專家 Xudong Zheng 表示,今次這種新攻擊手法主要是透過瀏覽器辨認 Punycode 字符上所出現的漏洞去進行,正常來說當將 Unicode 轉換成 ASCII 時,瀏覽器上應該會顯示出不同的網址,然而該漏洞卻會導致顯示出相同網址。舉例當黑客製造出一個域名為「xn—80ak6aa92e.com」的偽冒「www.apple.com」時,若然將網址貼到 IE 或 Safari 時將會顯示出「xn—80ak6aa92e.com」,不過由於瀏覽器出現的漏洞,因此在 Chrome 上則會顯示出「www.apple.com」,如用家不檢查網站的 SSL 證書,根本就難以察覺到是一個釣魚網站。
據資料顯示上述漏洞出現在 Chrome、Firefox 及 Opera,而 IE、Microsoft Edge 及 Safari 等則不受影響。暫時已知 Chrome 已在剛剛推出的 58 版本更新中修復好這個問題,建議大家應盡快進行更新。至於 Firefox 方面則未知會於何時修正,不過大家亦可通過手動方式去解決問題,方法是先在網均欄中輸入「about:config」,接著再搜尋「Punycode」,其後在找到「IDN_show_punycode」參數後透過雙擊將 false 改為 true,如此即可在 Firefox 禁用 Punycode。
來源:The Hacker News、Xudong Zheng