回望“币安惊魂夜”：钓鱼如何发生，下次我们又能做什么？

2018-03-14 21:18

3月7日，知名数字货币交易平台币安遭到黑客攻击，此次攻击造成全球数字币价格大跌。
根据币安交易所的公告，有31个账户遭到黑客的钓鱼入侵，黑客在掌握用户的账户权限之后，使用机器挂单，进行程序化高频交易，给用户带来巨大损失。
这几天关于此事的新闻很多，但绝大多数都是从事件本身出发，对数字货币的影响、对交易平台的影响等。
最关键的一点没人提及：到底钓鱼事件是怎么发生的，作为币安的普通用户，我们应该如何防御此类攻击？
一年前，华裔学生报告unicode钓鱼漏洞
在币安交易所发布的公告中指出，本次攻击，黑客使用了“unicode钓鱼手法”，这个是什么鬼？估计99%的记者没看懂。
2017年4月14日，在约翰霍普金斯大学研究数学的学生xudong zheng发表了一篇论文，题目是《Phishing with Unicode Domains》，中文大意为“用unicode网址钓鱼”。文章中给出了一种钓鱼的方法，多语言字符混合来骗过用户的眼睛。
安全专家向黑奇士表示，咱们使用的浏览器，是以英文为基础的，包括网址在开始也是仅能解析英文，所谓的unicode编码。
为了让浏览器支持多语言，有人开发了punycode编码，这套编码可以让世界上其他的语言可以被浏览器“理解”，比如中文、俄文、韩语。
例如，你要访问苹果网站，在最早你必须输入英文的apple.com；后来中国的cnnic、3721等公司，相继开发了自己的插件，让浏览器支持“新浪.com”、”“百度.com”这样的域名。Punycode就相当于一款语言插件（编码标准），被内置在了主流浏览器当中。
但使用puycode编码的网址会有一个问题，比如中文拼音的 ü，跟英文单词的u，看起来非常像（一个头上有两点，一个没有），但这套编码会识别成两个字母。
这就带来一种攻击：有人把各种语言的相似字母组合在一起，冒充知名网址。
本次币安的钓鱼攻击，就是有人把西里尔语字母，跟英文字母结合，冒充币安的网址。
黑奇士采访的资深白帽子M表示，即使是专业安全人士，如果对web安全不熟，面对这种钓鱼也很有可能上当。
半月前赵长鹏已收到警报

余下全部

共有评论0条

<返回

<返回首页