用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

资讯 10个月前 manoon
0


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

(司马子玉)

3月7日,著名的数字货币交易平台coin an遭到黑客攻击,导致全球数字货币价格大幅下跌

根据货币安交易所的公告,31个账户被黑客入侵。在掌握了用户的帐户权限后,黑客利用机器挂起订单并进行编程高频交易,给用户带来了巨大损失


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

钱安联合创始人何毅

最近有很多关于这件事的新闻,但大多数都是从事件本身开始的,包括对数字货币和交易平台的影响

最关键的一点没有提到:网络钓鱼事件是如何发生的?作为硬币安全的普通用户,我们应该如何防范此类攻击

一年前,中国学生报告了Unicode网络钓鱼漏洞

在货币安全交易所发布的公告中,有人指出黑客在这次攻击中使用了“Unicode钓鱼技术”。这到底是什么?据估计,99%的记者对此并不理解


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

2017年4月14日,约翰·霍普金斯大学数学系学生郑旭东发表了一篇题为“Unicode域网络钓鱼”的论文,中文意思是“Unicode网站网络钓鱼”。本文提出了一种钓鱼方法,多语言字符混合来欺骗用户的眼睛

安全专家告诉黑客,我们使用的浏览器是基于英语的,包括网站。起初,它只能解析英语,即所谓的Unicode代码

为了使浏览器支持多种语言,有人开发了punycode代码,它可以让浏览器“理解”世界上的其他语言,如汉语、俄语和韩语

例如,如果你想访问苹果的网站,你必须最早以英语进入Apple.com;后来,中国的CNNIC、3721和其他公司相继开发了自己的插件币安网交易,使浏览器能够支持“新浪网”和“百度网”等域名。Punycode相当于一个内置于主流浏览器中的语言插件(编码标准)

但是,用puycode编码的网站会有问题。例如,汉语拼音中的u看起来与英语中的u非常相似(一个头上有两个点,没有),但这组代码将被识别为两个字母


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

这带来了一种攻击:有人将不同语言中类似的字母组合在一起,假装是一个知名网站

钱安的钓鱼攻击是有人将西里尔文字母与英文字母结合起来,并伪装成钱安的网站

heckis采访的资深白帽m表示,即使是不熟悉网络安全的专业安全人员也可能在这种网络钓鱼行为面前被愚弄


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

参见下面的两点n?那不是英语

半个月前币安网交易,赵昌鹏接到报警,但没有处理

所谓的网络钓鱼攻击本质上是指用户在“假网站”上输入帐户密码

如果该假冒网站想要成为硬币安全用户群的目标,黑客将使用一些准确的交付方法,如搜索引广告、向硬币安全用户发送钓鱼电子邮件、在电报组中点对点发送网站链接等

这些行动短期内无法生效。如果交易所投资于安全监控,则有可能及早发现和处理类似事件


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

赵昌鹏以钱安的巨额财富登上福布斯封面

不幸的是,货币证券交易所没有这样做

微信截图显示,早在2月20日,就有人向硬币安全交易所创始人赵发出钓鱼警告。他说问题已经解决了。从硬币安全的后续措施来看,他没有认真对待这一警告,至少他没有向有风险的用户发出警告,以便尽力挽回损失


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

White Hat m先生说,主流浏览器已经能够抵御这种Unicode钓鱼。在PC端,只要浏览器升级到最新版本,大部分威胁都可以解决;在手机上安装杀毒软件也可以解决许多问题。如果是苹果手机,安装腾讯移动管家,IOS系统将调用其SDK,还可以拦截钓鱼网站

赫基斯查看了硬币安全网站。截至记者发稿时,网站首页没有任何安全提示


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

普通用户应该如何防止此类网络钓鱼攻击

黑客提醒普通用户,可以采取以下措施降低数字货币兑换的安全风险:

1、无论是在手机还是PC上,都必须安装杀毒软件,并且必须安装软件包。简单的“反病毒”无法解决捕鱼问题。Heckis推荐卡巴斯基的反病毒软件包(付费版)。在中国,你可以试试腾讯安全管家或tinder杀毒软件(两者都是免费软件)

2、浏览器必须实时升级。事实上,uniode网络钓鱼已经有一年了。主流浏览器应该打补丁,以不同的方式显示相似的字符。然而,在中国,一些外壳交换浏览器的核心升级不如原始浏览器,这可能存在安全问题。例如,360浏览器、搜狗浏览器和猎豹浏览器可能存在此类问题

Heckis建议安装在线Chrome浏览器。对于从国内网站下载的Chrome浏览器的完整版本,升级功能有限,可能会损害安全性能

3、对于普通小白用户,建议使用密码管理器。该软件将自动识别网站,不会自动在假冒网站上填写密码。但是,需要指出的是,一旦这种密码管理器被入侵,所有密码都将被盗。如何平衡风险和便利也需要用户掌握规模

4、这些软件可能存在假冒和换肤等问题

许多大型交易所仍然存在漏洞


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

3月10日,一名安全研究人员在智湖表示,除了盗窃用户帐户外,交易所的风险控制逻辑存在漏洞,这也是此次攻击成功的关键

知道网友“二子乘船”在文章中推测货币证券交易所没有采用真正的OTP(一次性密码)逻辑

一些硬币安全的受害者在国外网站上表示,他们已经开启了最高级别的2fa硬币安全认证。所谓2fa,是指在登录账号时,除了正确的账号名称和密码外,网站还会向您发送手机验证信息。只有验证成功后,您才能登录。这在业内被称为二次验证

硬币安全的逻辑漏洞是手机验证短信在30秒的有效期内可以使用两次:用户先在硬币安全中使用,然后黑客用此短信再次登录,验证码仍然有效

事实上,真正的OTP只允许一次登录。即使在有效期内,只要有人使用过一次,就会及时失效,防止黑客和用户同时登录

根据“二子乘船”测试,霍币、BIGone等知名交易所仍存在OTP验证漏洞,可能受到黑客攻击


用unicode网址钓鱼,我们应该如何防御此类攻击?|司马子羽

暂无评论

暂无评论...