官网:http://securitytech.cc/
同形异义字攻击的黑暗艺术
了解**同形异义字攻击(Homoglyph attacks)**如何通过替换字母为外观相似的字符(例如西里尔字母“а” vs 拉丁字母“a”)来欺骗疲惫的员工,注册仿冒银行域名。本文介绍漏洞猎人如何发现它们、黑客如何利用它们,以及防御者如何通过真实钓鱼案例保护系统。
作者:
免责声明: 本内容仅供教育用途。作者不对任何使用或滥用行为负责。您需对自己的行为承担全部责任。请始终遵守道德规范,并确保您拥有合法授权。
她几乎没有发现任何异常。她访问的 URL 看上去与 bank.com 一模一样 —— 但其实在域名注册时被替换了一个字符,而不是她手指打错。攻击者注册了一个几乎完美的仿冒域名,使用了与拉丁字母 a 外观相同的西里尔字母 а。当 Sarah 输入她以为正确的域名时,她的浏览器、DNS 或邮件跳转其实把她带到了一个高度仿真的钓鱼站点,专门用来窃取凭证。
