钓鱼网址盛行终于有浏览器厂商愿意解决

据福布斯北京时间4月18日在官网报道，Chrome和Firefox近期或将提供识别措施，帮助用户识别长期存在的钓鱼网站。以下为报道详细内容。

如果您点击Forbes.com的链接，您会希望自己自动转入《福布斯》的官方网站。但如果欺诈者想要窃取您的密码或信用卡信息，他们会向您显示一个虚假，但是看起来真实的网站链接。

以xn开头的网站地址等于向您的浏览器表明，其域名是使用Punycode（（使用URL中的特定ASCII字符在浏览器中输出Unicode）进行编码的，可以显示或等字符。浏览器能够做到这一点，十分重要。因为很大一部分互联网用户不会说英语（或者不是他们的第一语言）。

但是这样，它也让网络犯罪分子能够进行所谓的同形异义攻击。欺骗浏览器所需要的只是一大堆字母，符号和数字。例如，如果攻击者想欺骗“福布斯”域名，他们可能会注册域名xn--0xa0vo267doa5di.com。

此时，Chrome和Firefox浏览器将会把那一串乱码显示为Forbes.com。诈骗者甚至可以申请——并且可能会被授予——Punycode名称的SSL证书。这意味着如果您点击了这种网络钓鱼链接，您不仅可以在地址栏中看到forbes.com，还可以看到绿色锁的图标，告诉您这个网站是安全的。安全提供商Wordfence在最近的博客文章中提供了以下案例来讨论这些攻击：

要明确的是，诈骗者通常并不会使用同形异义攻击《福布斯》的官方网站，毕竟，并不会给诈骗者带来大量利益。他们更喜欢让受害者“主动贡献”出自己的Paypal、Facebook、电子邮件帐户或信用卡号码的凭据。

这种看似聪明的网络钓鱼技术并不新鲜。同形异义攻击已经存在了十多年。由于Punycode在域名中的合法使用，人们都知晓，解决这一问题十分困难。幸运的是，Chrome和Firefox用户或许很快就会得到保护。

Chrome和Firefox浏览器的行动

谷歌已经在其Chrome浏览器的实验版本Chrome Canary中引入了更改。在几个月内，Canary中的变更通常就会推送给所有Chrome用户。当这个更改正式推出时，Chrome用户将被自动保护。

实际上，Firefox用户现在就可以实际启用保护。首先在地址栏中输入about：config，然后同意Firefox显示的警告。之后就会出现一个搜索框。在框中输入punycode，然后浏览器就会显示一行信息，network.IDN_show_punycode。默认情况下，其设置为false。双击这行信息会将其更改为true，这将让Firefox显示“xn--”的全部名称，而不是其伪装后的欺骗性编码。