同形异义字钓鱼攻击分析与防范指南

同形异义字钓鱼攻击分析与防范指南 一、攻击概述 1.1 攻击案例 伪装活动 ：阿迪达斯69周年庆免费送2500双运动鞋 传播渠道 ：通过WhatsApp消息传播 欺骗手段 ：使用类似官方但含有拼写错误的域名（如"adıdas"中"i"少一点） 1.2 攻击特点 属于 同形异义字钓鱼攻击 (Homoglyph Attack) 利用 Punycode编码 伪装域名 攻击手法并非新颖，早在2016年就有类似活动 二、攻击技术分析 2.1 攻击流程 设备检测 ：通过JavaScript检查 window.orientation 属性和屏幕宽度，确保访问来自移动设备 失败则重定向到404页面 成功则继续攻击流程 地理位置识别 ：获取访问者IP地址的地理位置数据，根据国家/地区重定向到不同链接 问卷调查阶段 ： 设置4个问题，无论答案如何都会告知用户"中奖" 要求用户在WhatsApp上分享消息 社交分享阶段 ： 即使用户关闭分享界面，也会被识别为分享成功 重定向到下一阶段 诱导订阅阶段 ： 要求用户在Facebook上分享广告 告知可以"1美元领取鞋子" 最终诱导用户填写联系方式并订阅高额服务 2.2 域名欺骗技术 2.2.1 Punycode编码 定义：一种在域名中编码非ASCII字符以支持国际化域名(IDN)的方法 示例： 2.2.2 攻击者使用的其他欺骗域名 | Punycode编码 | 实际显示 | |--------------|----------| | xn—costo-7xa.com | costċċo.com | | xn—superndo-xkb.com | superındo.com | | xn—jetarways-ypb.com | jetaırways.com | | xn—starucks-hpd.com | starɓɓucks.com | 2.3 国家/地区特定重定向 攻击者针对不同国家使用不同欺骗域名： | 国家/地区 | 实际链接 | 显示链接 | |-----------|----------|----------| | 挪威,瑞典 | www.xn—addas-04a.de/no.html | www.adııdas.de/no.html | | 美国 | www.xn—disneycruse-7zb.com | www.disneycruııse.com | | 印度 | www.xn—jetarways-ypb.com | www.jetaırways.com | 三、最终欺诈手段 3.1 订阅陷阱 伪装成"免费试用" 实际订阅"organizejobs"服务 每月收取49.99美元的高级账户使用费 3.2 支付页面欺骗 显示"免费试用"字样 同时显示50美元/月的价格 支付处理信息中显示无关网址(organizejobs.net) 四、安全建议 4.1 识别钓鱼攻击 检查域名细节 ： 仔细查看每个字符，特别是容易混淆的字母（如i、l、1等） 注意大小写和特殊符号 验证活动真实性 ： 询问消息发送者是否确实发送了该消息 搜索官方渠道确认活动信息 直接访问官网或询问官方社交媒体账号 浏览器防护 ： Chrome和Firefox会检查域名是否包含来自多个字母的字符 Firefox允许用户选择是否显示Punycode语法 4.2 防范措施 不点击可疑链接 ：对任何"免费赠送"类消息保持警惕 使用安全工具 ：启用浏览器安全防护功能 教育宣传 ：提高对同形异义字攻击的认识 删除可疑消息 ：无法确认时，直接删除包含可疑链接的消息 五、技术防护方案 5.1 浏览器设置 Chrome ：默认启用IDN欺骗防护 Firefox ： 在about:config中设置 network.IDN_show_punycode 为true 强制显示Punycode编码而非Unicode字符 5.2 企业防护 邮件过滤 ：部署高级邮件安全网关检测钓鱼尝试 DNS过滤 ：阻止已知的Punycode钓鱼域名 终端防护 ：使用端点检测与响应(EDR)解决方案 六、总结 同形异义字钓鱼攻击利用人类视觉识别和Unicode编码系统的特性，通过精心构造的欺骗性域名实施诈骗。此类攻击虽然技术简单但效果显著，关键在于提高用户安全意识和技术防护相结合。通过了解攻击手法、掌握识别技巧并采取适当防护措施，可以有效避免成为此类攻击的受害者。