Search
眾多報告預測2018年資安趨勢中,最重要的一項就是加密貨幣了。果不其然,以加密貨幣交易所謂目標的釣魚攻擊已經開始興盛了。有興趣投資加密貨幣的新手們,小心別被白白騙錢哪!
「不同於官網,冒牌Binance網站使用名為Punycode(域名轉碼)的方法,使其「在ASCII的某些字元中代替Unicode」。利用這個方法,惡意網域「xninancehrb.com」就會變成「binance.com」。一些新手或不太懂技術的加密貨幣投資者就可能上當。」
資安研究人員發現Chrome與Firefox瀏覽器的漏洞,利用Punycode把基於Unicode申請的網域名稱轉為ASCII時的漏洞用於網釣攻擊,以騙取使用者的機密資訊。
_ _ _ _ _ _ _ _ _ __ _ _ _ _
《延伸閱讀》網路捕鯨 (Whaling)專門鎖定企業高階主管
http://t.rend.tw/?i=NTE3MQ
#網路釣魚 #網路捕鯨 #資安
#釣魚網站 #Punycode
駭客利用Punycode網域設釣魚網站,欺騙瀏覽器獲得SSL安全憑證
一名中國資安研究人員Zheng Xudong於14日在網路上建立一個網域名為「https://аррӏе.com/」釣魚網站,他利用Punycode可註冊外來文字網域的特色,將原有為「xn--80ak6aa92e」轉換ASCII編碼「apple」,破解Chrome、Firefox的「homograph(同形異義)」 安全漏洞,取得瀏覽器SSL安全憑證,來提高使用者信任,更順利欺騙使用者輸入個資,並且從中竊取。
