| 20 апр 2017 — 7:13 утра по тихоокеанскому времени
Обновление: последняя версия Chrome теперь отображает правильный URL-адрес.
Большинство фишинговых атак – ссылок, которые отправляют вас на поддельный веб-сайт в надежде, что вы войдете в систему, используя свои реальные учетные данные – обычно легко обнаружить. Электронные письма часто носят общий характер, вместо того чтобы использовать ваше зарегистрированное имя. Грамматика плохая или формулировка странная. В письме будет угроза закрытия вашей учетной записи, если вы не примете срочных мер, и так далее.
Если вы пропустили все эти подсказки и перешли по ссылке, URL-адрес покажет, что это на самом деле не тот сайт, которым он представляется. Но один демонстрационный сайт, созданный китайским исследователем безопасности, показывает, как можно посетить поддельный веб-сайт, который, казалось бы, отображает правильный URL-адрес https://www.apple.com в окне браузера…
Трюк, используемый сайтом, заключается в использовании символов Unicode, которые выглядят так же, как соответствующие символы ASCII для выдаваемого за него сайта, объясняет исследователь Xudong Zheng.
Возможно зарегистрировать домены, такие как “xn--pple-43d.com”, что эквивалентно “аpple.com”. На первый взгляд это может быть неочевидно, но “аpple.com” использует кириллическую букву “а” (U+0430), а не ASCII “a” (U+0061). Это известно как атака гомографа.
Safari не обманывается этим, но Chrome, Firefox и Opera – все они ведутся. Вы можете сами в этом убедиться, используя любой из них для посещения https://www.xn--80ak6aa92e.com (это совершенно безопасно, это сайт, созданный Zheng в качестве доказательства концепции). В Safari вы увидите этот URL-адрес в том виде, в котором он представлен здесь – но в других браузерах он будет выглядеть *точно так же*, как https://www.apple.com.
Конечно, чтобы полностью использовать уязвимость, фишер должен был бы сделать электронное письмо, направляющее туда, таким же убедительным, как и сам сайт, но многих людей обманывают даже наполовину убедительные электронные письма.
Этот трюк усиливает обычный совет: всегда посещайте веб-сайты из своих закладок или вводя URL-адрес, никогда не переходите по ссылкам из неожиданного электронного письма, даже если оно отправлено кем-то, кого вы знаете. Здесь вы можете найти больше советов.
Фишинг был одним из двух методов, использованных для получения учетных данных iCloud, использованных в атаке с фотографиями знаменитостей в 2014 году.
Спасибо, Фифи.