假網站如何利用真.APPLE網址,騙取你的個人資料?(范健文)
apple.com可以不是真 “apple”?中國資安研究人員Zheng Xudong近日公開調查,指他在數月前發現三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞,令罪犯可以製作出「同形義字」的假Apple釣魚網站,加上「安全」HTTPS認證,看起來更和真的 “apple.com”一樣!
此 ‘a’不同彼 ‘a’ 網址都有分兩文三語!
現實世界中有不同語系,網絡世界其實也有,例如中國的.cn網站、台灣的.tw網站就有一部分是直接選用中文作網址。自2007年起,網絡系統便接受英文以外的網址,中文、阿拉伯和斯拉夫語言等字符也可以用作域名,稱為國際化域名標籤(IDNA)。這些語言本來都是以萬國碼Unicode編碼、顯示,但是域名系統受技術所限只能使用ASCII編碼,於是負責管理域名及IP地址的組織ICANN就通過,其他語言需要根據域名代碼Punycode字符集,將Unicode「轉換」為ASCII制式。例如,德文「münchen」(德國慕尼黑)會被編碼為「xn—mnchen-3ya」,中文「香港」就會被編碼為「xn—j6w193g」。
「同形義字Homograph」攻擊
不過,IDNA有一個致命的問題,那就是這種可以由不同語系字符組成的域名,令罪犯有機會可以用「同形義字Homograph」的方式製作以假亂真的網址。舉例而言,域名中的 “apple” 本應為拉丁字母的 “a”,但罪犯以Cyrillic字母(即斯拉夫語言所用的字符)的 “a”取替,開設新網站。用家以為Cyrillic [‘a’pple]就是拉丁[ ‘a’pple] ,被誤導向罪犯提供真資料。
早在2005年,ICANN就已經提出Homograph Attack的潛在危機,不過當時未有處理。及後在2011年更出現實際例子,域名為Cyrillic字母的假網站 “raural[dot]com” 由Unicode顯示,網址看起來竟與網上支付網站 “PayPal.com“竟然近乎一模一樣!
Chrome、Firefox及Opera的漏洞
現代瀏覽器其實已找出解決方法:只要感應到域名混雜使用多種語言,瀏覽器便不會顯示Unicode,反而會顯示Punycode,以免用家混淆同形義字的不同域名。
然而,中國資安研究人員Zheng Xudong數月前發現,三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞。當黑客只使用一種外語取代域名的每一個字符,以上三個瀏覽器皆未能偵測出可疑的域名,更未能以Punycode顯示它的「原型」!Zheng Xudong製作了一個假Apple網站展示以上漏洞,你也可以親眼看看:Apple.com Demo(放心,沒有毒!)另外,我亦在本地資訊安全研究機構VXRL的安全研究人員Zetta的協助下,製作了一個假Microsoft網站,這個網站連介面也「抄」到十足:Microsoft Demo (同樣安全)
更麻煩的是,這兩個假網站已成功得到SSL認證,為「安全」的HTTPS網站!雖然SSL只能認證網站的數據傳輸過程保密、沒有第三方監視,不代表網站安全無毒,但Chrome、Firefox及Opera皆會直接顯示為 “Secure”。假Apple網既有SSL認證,讀起來更和真Apple一模一樣,你又如何分辨?SSL認證制度無疑令「同形義字Homograph」攻擊更難抵擋。甚麼是HTTPS?原來HTTPS也可以是釣魚網站!
Firefox和Chrome已著手處理問題,前者未有正式修補漏洞的方案,但用戶可以設定瀏覽器強制顯示Punycode網址;而後者則會在月底推出包括修補檔的更新。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。