Chrome扩展程序可检测URL(Unicode)攻击

Phish.ai团队开发并发布了一款谷歌浏览器扩展程序,可以检测用户何时访问使用非标准Unicode字符拼写的域,并警告用户关于同形异义文件攻击的可能性。黑客使用这种故意拼写错误的域名来诱骗用户访问钓鱼网站,在那里他们收集用户凭据或欺骗受害者下载带有恶意软件的文件。

十多年前,ICANN允许注册国际化域名,区域化为各种语言和字母,拼写使用Unicode字符。其中一些Unicode字符在视觉上与标准拉丁字符相同。 这种视觉相似性打开了攻击者注册域名的大门,可以欺骗那些不关注URL字符串的用户。

例如,用户必须仔细查看coịnbạse.com以注意“i”和“a”字符下的小点。试图欺骗使用这种域名的用户称为国际化域名(IDN)同形异义词攻击或Unicode攻击。近年来这种攻击已经开始流行,仅2017年就报告过几起事件。

一些浏览器已经通过用Punycode(一种基于ASCII的Unicode字符表示法)替换Unicode字符来反击。 例如,除了coịnbạse.com之外,像Edge或Vivaldi这样的浏览器将会显示xn--conbse-zc8b7m.com,而不是强调网址存在问题。

但Chrome和Firefox默认不显示URL的Punycode版本。 对于Firefox,在Punycode中显示Unicode域需要用户在about:config部分切换标志。

另一方面,Chrome会在标题栏中显示URL Punycode版本,但不会显示地址栏。 这是Phish.ai的扩展提供帮助的地方,每次用户尝试访问包含Unicode字符的域时都会显示一个大红色的窗口(如文章顶部所示)。

该错误消息与安全浏览警报类似,将阻止访问该网站,迫使用户回复并注意该URL。

Phish.AI IDN Protect Chrome扩展程序的源代码可在GitHub(https://github.com/phishai/idn-protect-chrome)上找到,该扩展程序也可在Chrome网上应用店(https://chrome.google.com/webstore/detail/phishai-idn-protect/mikecfgnmakjomepfcghpbhfamjbjhid)中使用,以便安装。

原文:https://www.bleepingcomputer.com/news/security/chrome-extension-detects-url-homograph-unicode-attacks/

上一篇:FBI指控9名伊朗人窃取大学科研数据

下一篇:Facebook收集Android通话记录和短信数据