你是这样上钩的?解密新型钓鱼网站

现在网上有很多的钓鱼网站，不过大多是模仿网银或者一些官网的页面，然后再使用一些容易混淆的域名来让我们中招。随着这些钓鱼网站伎俩不断被曝光，现在大家几乎都可以轻松进行判别了。不过近日网上出现一种新型的钓鱼网站，它使用了和被假冒网站几乎一样的域名，让人真假难辨。让我们来揭秘它伪装的原理，并了解下对这类钓鱼网站应该如何安全防范。

钓鱼网站 这样识别远远不够

说到钓鱼网站，这类网站惯用的伎俩是使用“李鬼域名+模仿页面”的方式迷惑我们，比如之前很多钓鱼网站使用（使用0代替O）来假冒淘宝网站。这类钓鱼网站和正规网站相比，一是域名不同，我们只要认真查看即可辨别，二是没有使用https开头加密网址（图1）。

因此对于钓鱼网站的识别，我们主要是通过“查看域名”和“是否有加锁标记”来进行甄别的。这种方法看似有效，但是近日出现的新型钓鱼网站则让上述判断标准形同虚设。因为钓鱼者制作了一个几乎和官方网站一样的域名（域名极度相似且使用https加密），比如一位安全专家制作的“”假冒苹果页面，这个网站不仅域名和苹果官网几乎完全一样，而且同样使用https加密。这种钓鱼网站是不是会让很多人上当（图2）？

以假乱真 揭开钓鱼网站背后的秘密

如上所述，安全专家建立的苹果钓鱼网站从域名和加密链接上几乎达到以假乱真的地步。那么这个钓鱼网站是怎么做到的？

我们平时上网都是在浏览器直接输入网站域名，比如访问百度就直接输入，然后这个域名是通过域名服务器解析到百度的IP地址。这里的域名服务器就类似中转站，它将人们不好记忆的IP地址和容易忆的域名关联起来，从而让人们上网更方便（图3）。

不过大家应该知道世界上官方语言有很多种，比如希腊语、法语、英语等，这样一些国家的网址就会包含各自母语里的字母，而其中不少语言的字母看上去非常相似，比如a（西里尔文的a）、a（英文字母a）、α（俄文里的α阿尔法）这三个字母，看起来是不是非常相似？不过对于电脑来说，它们却是完全不同的三个字母。如果使用西里尔文的人们设计一个类似的网址，那么它和英语国家的网址看起来就没有什么区别。这样DNS域名服务器在解析这些“多胞胎”域名时就会显得“很迷茫”，因为它也不怎么分得清楚这些域名的实际区别。

所以为了让不同语言的域名都可以快速解析，浏览器就引入了一种名为“Punycode”的编码方式，它的主要功能就是将这些不同国家的语言母语“翻译”成DNS服务器都能看懂的英文字符。比如在浏览器地址栏输入“人民网.中国”，DNS服务器会将其通过Punycode编码转换为类似“xn--gmq282eogn.xn--fiqs8s/”这样的英文网址页面，我们在QQ浏览器地址栏输入“人民网.中国”显示的即为转换后的英文网址（图4）。

DNS服务器通过“翻译”各地官方语言，这样可以让世界人民都能够直接输入自己的母语域名来上网。不过这也带来一个问题。因为一些浏览器如Chrome、Firefox与Opera，由于存在Punycode编码漏洞，导致我们在这些浏览器输入地方语言域名时，在其地址栏不会直接显示转换后的英文网址，而仍然还是显示地方语言，这样一些钓鱼网站就故意使用那些容易让人混淆的字符作为钓鱼域名。比如上例中的“www.арр？е.com”这个域名，实际上其中的“а、р、？、е”均不是苹果单词里对应的“a、p、l、e”，大家可以将这两组字母均复制到Excel中的一行，然后使用条件格式的“突出显示单元格的规则重复值”，可以看到这八个字母均不重复。这也意味着实际上“арр？е”和真正的苹果“apple”是完全不同的两个域名，只是看起来非常类似，但我们根本无法通过肉眼进行分别（图5）。

这样钓鱼攻击者通过制作一个和官网非常类似的域名，然后再模仿官网的页面，并且申请一个免费加密证书页面，这样很多人就会毫无戒心地进入钓鱼网站，从而使自己的财产受到损失。

拒绝钓鱼 我们要这样做

可以看到日前浏览器曝出的Punycode编码漏洞，能够让攻击者制作出以假乱真的官网，幸好目前影响的只是用户较少的Chrome、Firefox与Opera用户。那么作为用户应该怎样进行防范？

一方面，我们应该随时关注类似安全漏洞的新闻，在发现浏览器有类似的安全隐患时要及时升级浏览器或做出相应的安全设置。比如Chrome用户升级到新版后就可以防止这个漏洞，火狐用户则可以在地址栏中输入about：config，然后在搜索栏中输入“Punycode”，接着在浏览器选中显示参数”network.IDN_ show_“Punycode”的“值”，双击将其改为“true”即可（图6）。

另一方面，对于常用的网银等网址，建议在百度搜索后将显示为官网的网址添加到收藏夹，以后通过收藏夹进入，而不是点击链接或者输入网址进入，这样可以有效避免钓鱼网站的攻击。