V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
liaa
V2EX  ›  程序员

提醒 V 友, 防不胜防的钓鱼网址

  liaa · 2017-04-16 10:57:55 +08:00 · 25878 次点击
这是一个创建于 2780 天前的主题,其中的信息可能已经有所发展或是发生改变。

原始网站: epic.com

钓鱼网站: epic.com

打开后看地址栏,你觉得你能分辨的出来么?

第 1 条附言  ·  2017-04-16 15:18:12 +08:00
做了一个 Chrome 插件来防止被钓鱼, 希望对 V 友有用.

下载地址: https://chrome.google.com/webstore/detail/real-domain-name/lhbkkikjboiebjeghokpefafaahnfoff
GitHub: https://github.com/liaa/real_domain_name

第 2 条附言  ·  2017-04-18 23:39:12 +08:00

稍微更新了一下:

  1. 自动提示 (Notification)
  2. 危险标记

real domain name

205 条回复    2019-05-30 08:30:42 +08:00
1  2  3  
geelaw
    101
geelaw  
   2017-04-16 15:04:35 +08:00   ❤️ 1
已经开始写一个用于自动检测和给出警告、选择性 trust 或 block 的插件了 - -
aocif23
    102
aocif23  
   2017-04-16 15:22:52 +08:00   ❤️ 3
详细页面里有提到修复方法

How to fix this in Firefox:
In your firefox location bar, type ‘ about:config ’ without quotes.
Do a search for ‘ punycode ’ without quotes.
You should see a parameter titled: network.IDN_show_punycode
Change the value from false to true.

chrome canary 已经修复,等稳定版更新
liaa
    103
liaa  
OP
   2017-04-16 15:32:55 +08:00 via iPhone
@geelaw 完成的话我可以帮你 append :)
fangxing204
    104
fangxing204  
   2017-04-16 15:34:35 +08:00 via Android
牛逼啊,
cnZary
    105
cnZary  
   2017-04-16 15:40:40 +08:00
版本 60.0.3072.0 canary (64-bit)
点进去显示出来的是不一样的...
Suddoo
    106
Suddoo  
   2017-04-16 15:51:29 +08:00 via Android
点进去钓鱼站的地址, chrome 提示真实地址了
legend4
    107
legend4  
   2017-04-16 16:03:31 +08:00 via iPad
Firefox 直接停止加载并有页面提示
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.

但证书显示通过,是 Let's Encrypt 颁发的
zmj1316
    108
zmj1316  
   2017-04-16 16:18:34 +08:00 via Android
@legend4 这不是停止加载吧,页面就是这个内容吧
lilifenghao44
    109
lilifenghao44  
   2017-04-16 16:19:48 +08:00
@legend4 心好累,证书通过不一定是安全,要看看颁发给谁,颁发给什么域名.
现在只能在 ctrl+shift+I 的 security 看了.

以前有直接小锁看.

支付 /购物 /药品 等网站验证证书是非常必要的,特别是在陌生电脑上
thekll
    110
thekll  
   2017-04-16 16:30:03 +08:00 via iPhone
IDNA
在 IDN 规范里应该强制要求浏览器等应用在显示 IDN 时将 puncode 编码的字符以某种直观的可辨识的方式表示,以示其为非 ASCII 码字符。
kava
    111
kava  
   2017-04-16 16:32:21 +08:00
晕,前面这么多提醒上钩的人还是不少。。
tlze
    112
tlze  
   2017-04-16 16:49:34 +08:00
@aocif23 谢谢,方法有效。
Yunhao
    113
Yunhao  
   2017-04-16 17:15:45 +08:00 via iPhone
@legend4 把这段英文看完你就会知道这段内容就是网站的正文,并不是浏览器提示。
kingcos
    114
kingcos  
   2017-04-16 17:23:55 +08:00
Safari 直接显示就是 https://www.xn--e1awd7f.com ,无论 macOS 还是 iOS
Oucreate
    115
Oucreate  
   2017-04-16 17:26:09 +08:00
360 极速浏览器:地址栏显示的就是“ https://www.xn--e1awd7f.com ”。为 Chrome Windows 鼓掌!~
salary123
    116
salary123  
   2017-04-16 17:40:38 +08:00
点击第二个进去显示这个。
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
salary123
    117
salary123  
   2017-04-16 17:46:43 +08:00
@505243267 终于看懂了。字体。。太屌了,正常人根本就注意不到
wavingclear
    118
wavingclear  
   2017-04-16 17:48:38 +08:00   ❤️ 2
钓鱼网站做的太不上心,以至于小白还以为是浏览器拦截了正在查看的网页……
o00o
    119
o00o  
   2017-04-16 18:12:43 +08:00
јԁ.com 已注册
zoffy
    120
zoffy  
   2017-04-16 18:54:02 +08:00
厉害了我的域名
buguniaogu
    121
buguniaogu  
   2017-04-16 18:58:10 +08:00
![]( )
eric227
    122
eric227  
   2017-04-16 19:15:32 +08:00
厉害了...我的 Windows Chrome
pheyer
    123
pheyer  
   2017-04-16 19:23:56 +08:00
测试在 Mac 下 Chrome 看不出来区别, Safari 直接能显示原始网址
walleL
    124
walleL  
   2017-04-16 19:25:06 +08:00

Chrome 点小锁可破
v2chou
    125
v2chou  
   2017-04-16 19:25:09 +08:00
Chrome 地址栏才显示的有问题吗?
Akarin
    126
Akarin  
   2017-04-16 20:18:42 +08:00
记得汉字里也有字形相同 /相近,但是 unicode 码不一样的。并且有个网页可以查询。有人记得这个工具的网址吗?
billwang
    127
billwang  
   2017-04-16 20:21:54 +08:00
这个有什么问题吗?我的地址栏明明显示的是 https://www.xn--e1awd7f.com/
LuoLuoKaka
    128
LuoLuoKaka  
   2017-04-16 20:40:41 +08:00
@walleL 老版本的 chrome ?在 chrome 57 上不显示了
lianyue
    129
lianyue  
   2017-04-16 20:41:14 +08:00
caiya21
    130
caiya21  
   2017-04-16 20:50:18 +08:00
chrome 直接爆出来了 特殊字符
enotx
    131
enotx  
   2017-04-16 20:55:22 +08:00
学到了, IDN 还能有这种玩法。 linux 下的 firefox 上完全看不出来区别
解决方法: about:config 中,把 network.IDN_show_punycode 键值设为 True
Heavytiger
    132
Heavytiger  
   2017-04-16 20:58:37 +08:00
safari
mianju
    133
mianju  
   2017-04-16 21:45:11 +08:00
感觉要是有人注册比如这个 xn--lipay-3ve 会防不胜防
malagebidi
    134
malagebidi  
   2017-04-16 21:57:57 +08:00
吓得我赶紧更新了一下 Chrome ,最新的 dev 版本 59.0.3067.6 已经能分辨了
macroideal
    135
macroideal  
   2017-04-16 22:00:52 +08:00
怎么实现的?
yankebupt
    136
yankebupt  
   2017-04-16 22:59:03 +08:00
这是 let's encrypt 的锅啊...
因为 unicode 都有特定格式的,比如减号,给这种域名颁发证书肯定要人工审核的...
之后肯定吊销一大批这种证书……
伪装域名地址栏什么的 http 已经玩烂了,但是这是 https 啊...最大的信任是来自于那个地址栏和对应的绿色锁啊.
mingyun
    137
mingyun  
   2017-04-16 23:02:16 +08:00
好屌
Mitt
    138
Mitt  
   2017-04-16 23:12:57 +08:00
由于 Safari 过于落后,这个坑踩不到 (笑
FradSer
    139
FradSer  
   2017-04-16 23:29:20 +08:00
@Mitt 23333
xiaopenyou
    140
xiaopenyou  
   2017-04-16 23:33:43 +08:00
@Akarin #126 ( ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็  不了ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้)
brotherlegend
    141
brotherlegend  
   2017-04-16 23:45:45 +08:00
这个问题很严重,我靠,吓死人。
xbb7766
    142
xbb7766  
   2017-04-16 23:53:55 +08:00 via Android
我觉得 lets encrypt 迟早会增加限制算法,不然要被玩坏了。。。
Allianzcortex
    143
Allianzcortex  
   2017-04-16 23:55:26 +08:00
Ubuntu Chrome 57.0.2987.133 ,启动命令里配置了 --ignore-certificate-errors ,这个网站直接打不开,出现下面的提示:

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
Jaylee
    144
Jaylee  
   2017-04-16 23:59:13 +08:00   ❤️ 1
@Allianzcortex 这个提示就是那个网站的内容啊
Allianzcortex
    145
Allianzcortex  
   2017-04-17 00:01:17 +08:00
@Jaylee 吓。。。
jcwtime
    146
jcwtime  
   2017-04-17 00:22:02 +08:00 via Android
用 uc 国际版打开 明显示两个地址的。内容也不同
coolcfan
    147
coolcfan  
   2017-04-17 00:38:29 +08:00 via Android
这个页面看起来没加样式,而浏览器的封禁提示都是有特殊样式的,为何会误认啊…
424778940
    148
424778940  
   2017-04-17 00:59:53 +08:00   ❤️ 3
这一个贴是钓出多少小白和不看英文的人
"This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox."
这网站第一句话这么大字写着 "这个页面展示了一个 chrome 和 firefox 的 unicode 漏洞", 真的不要再说这是浏览器提示了好么,看的都蛋疼了
laydown
    149
laydown  
   2017-04-17 01:22:01 +08:00
楼主应该也贴一下原帖里写的 Firefox 对于这种冒牌网址的处理办法。
xspoco
    150
xspoco  
   2017-04-17 02:19:14 +08:00
http://www.hostloc.com/?18756
http://www.hostloc.com/?25798
有没有大佬科普下这个两个一样的 ID 是怎么做到的。
byfar
    151
byfar  
   2017-04-17 09:09:16 +08:00
@xspoco 用户不存在跳首页?
skylancer
    152
skylancer  
   2017-04-17 09:16:38 +08:00
@legend4 这个‘钓鱼网站’页面就是这个内容,根本不是 FF 停止加载
skylancer
    153
skylancer  
   2017-04-17 09:18:07 +08:00
@yankebupt 压根就不是 Let's Encrypt 的锅,自己看清楚证书颁发的域名
jinghangdayunhe
    154
jinghangdayunhe  
   2017-04-17 09:31:36 +08:00
看到一群贴网站内容还说没问题的,逗乐我了
tammy
    155
tammy  
   2017-04-17 09:42:13 +08:00
@iPhone8 能用这种域名的网站肯定是限定受众导向的啊,不然为什么不用英文域名?
morethansean
    156
morethansean  
   2017-04-17 09:59:08 +08:00
这贴真正让我震惊的是……有那么多已经被钓鱼却还跟帖回复说没有问题没被钓鱼的人……
baihu
    157
baihu  
   2017-04-17 10:01:26 +08:00
版本 57.0.2987.133 (64-bit)

Google Chrome 已是最新版本。

我想知道 chrome 刷到 60 的是怎么实现的?
PS:这 bug 真心恐怖~表示完全看不出来。
neighbads
    158
neighbads  
   2017-04-17 10:01:59 +08:00
浏览器的锅。。。
scriptkid
    159
scriptkid  
   2017-04-17 10:03:19 +08:00
关于楼主的插件我没有测试过,不过我猜测是要点击下插件按钮才会弹出真实域名?如果是这样的话,点击 chrome 的地址栏左边那个小锁其实包含了同样的功能。最后感谢楼主分享
wudanyang
    160
wudanyang  
   2017-04-17 10:05:49 +08:00
chrome dev 版本显示真实域名
glasslion
    161
glasslion  
   2017-04-17 10:18:59 +08:00
第一次发现 V2 上那么多人不懂英文
killerv
    162
killerv  
   2017-04-17 10:19:09 +08:00
我这边 Win10 Chrome57 完全看不出来区别
murmur
    163
murmur  
   2017-04-17 10:21:43 +08:00
ie 的大胜利
kmahyyg
    164
kmahyyg  
   2017-04-17 10:25:09 +08:00 via Android
url 字体显示是有差异的
vjnjc
    165
vjnjc  
   2017-04-17 10:30:23 +08:00
除了字距有一点点差别,肉眼单个看基本看不出。。。
jackantony
    166
jackantony  
   2017-04-17 10:30:45 +08:00
@xspoco 一个设置了昵称为 suzizi ,一个用户名是 suzizi 。估计是这样。。。 ID 也不同啊
banxi1988
    167
banxi1988  
   2017-04-17 10:31:57 +08:00
Chrome Version 57.0.2987.133 (64-bit)
OS: macOS 10.12.4
表示完全看不出差别.
essethon
    168
essethon  
   2017-04-17 10:34:35 +08:00
@walleL 这是哪个版本的 Chrome ?最近的 Chrome 点小锁已经看不到证书了,只有打开开发者工具去 Security 选项卡才能看到……
zhangneww
    169
zhangneww  
   2017-04-17 10:46:17 +08:00
@baihu 你的是稳定版本,还有 dev 版,金丝雀版
AlisaDestiny
    170
AlisaDestiny  
   2017-04-17 10:52:07 +08:00
@o00o 666 啊。这个是打算做大事吗?我就问一句我可以入伙不。<-_<-
homlean
    171
homlean  
   2017-04-17 11:00:21 +08:00
It is actually the unicode domain: https://www.xn--e1awd7f.com/
yulitian888
    172
yulitian888  
   2017-04-17 11:04:32 +08:00
感谢
errorlife
    173
errorlife  
   2017-04-17 11:07:07 +08:00
win chrome 也是:
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
HUAXIA
    174
HUAXIA  
   2017-04-17 11:11:17 +08:00
@424778940 哈哈,确实,有些人一本正经的,我的 Chrome 拦截并提示
HUAXIA
    175
HUAXIA  
   2017-04-17 11:16:47 +08:00
经测试, UC , Edge 浏览器可以直接在地址栏显示真实地址; CentBrowser ,搜狗, 360 安全地址栏显示钓鱼地址,但 360 通过点击地址栏小锁可破,其他两个不可破。
over
kacong
    176
kacong  
   2017-04-17 11:17:30 +08:00
unicode trap
580a388da131
    177
580a388da131  
   2017-04-17 11:20:20 +08:00
什么鬼,内核为 50 的 360 极速自动跳转到原始域名了,而内核为 57 的 chrome 却没跳转。。。
zhangneww
    178
zhangneww  
   2017-04-17 11:31:23 +08:00
@errorlife 不看英文内容也不看回帖,你贴的这段话是这个网站的内容,不是你的 chrome 提示你的,是这个网站做的 demo ,告诉大家这个域名有混淆。
iPhone8
    179
iPhone8  
   2017-04-17 11:36:10 +08:00
@tammy 你这回复我无法回复,毫无因果关系的事情也能被你扯一起。你还是提高一下姿势水平吧。
tlday
    180
tlday  
   2017-04-17 11:55:02 +08:00
@baihu chrome 有多个发布 channel: stable, dev, beta, canary
tlday
    181
tlday  
   2017-04-17 11:56:10 +08:00
@baihu https://www.chromium.org/getting-involved/dev-channel 有详细说明。可以简单的通过图标分辨出来。
annielong
    182
annielong  
   2017-04-17 13:10:42 +08:00
firefox52.0.2,没有任何提示,只看到证书不一样
MushishiXian
    183
MushishiXian  
   2017-04-17 13:51:49 +08:00
360 极速没问题.....
caty
    184
caty  
   2017-04-17 14:30:42 +08:00 via iPhone
@Aquamarine 同意
parvin
    185
parvin  
   2017-04-17 14:50:27 +08:00
就是不知道能不能把大家钓进来😏😍😁

https://u.nu/5f
3b295
    186
3b295  
   2017-04-17 15:05:58 +08:00
@liaa 你判断它是钓鱼网站的思路是什么, 万一真的有一个俄国人(我看评论说是俄语)碰巧使用了一个俄语域名和别的英文域名撞车了, 这种情况下你怎么区别的。
lyzy
    187
lyzy  
   2017-04-17 17:10:46 +08:00 via Android   ❤️ 1
开始怀疑这个 v2 是不是真的
iugo
    188
iugo  
   2017-04-17 17:37:30 +08:00
所以查看证书才那么重要. 可是现在 Chrome 只能调出开发者模式才能看证书, 不是点一下就能看了. 不好的设定.
xspoco
    189
xspoco  
   2017-04-17 18:05:35 +08:00
@byfar #151
可能需要登陆下刷新。
http://www.hostloc.com/home.php?mod=space&uid=18756&do=index
http://www.hostloc.com/home.php?mod=space&uid=25798&do=index


@jackantony #166
就是 ID 不同但是用户名是一样的。。不是昵称, dz 又不能设置昵称。
pysama
    190
pysama  
   2017-04-17 18:11:02 +08:00
天哪撸。 ff 和 chrome 都是这样
Aquamarine
    191
Aquamarine  
   2017-04-17 19:53:07 +08:00
@msg7086 你的浏览器是 Vivaldi ?
Aquamarine
    192
Aquamarine  
   2017-04-17 19:54:52 +08:00
@codehz 这刷得是不是有点快啊,我的才刚升级过……
Aquamarine
    193
Aquamarine  
   2017-04-17 19:57:50 +08:00
@wpaygp 我的版本和你一样,你的打不开是什么意思?
msg7086
    194
msg7086  
   2017-04-18 01:23:02 +08:00
@Aquamarine 是啊。
Doge2017
    195
Doge2017  
   2017-04-18 08:57:44 +08:00
这个 bug 厉害了,有点可怕
lengxx
    196
lengxx  
   2017-04-18 10:22:41 +08:00   ❤️ 1
iyannik0215
    197
iyannik0215  
   2017-04-18 10:37:39 +08:00
说是 Let's Encrypt 的锅的人... 真的是... 唉~~
sunsan05
    198
sunsan05  
   2017-04-18 16:25:33 +08:00
a herf="epic.com">epic.com
a href="钓鱼网址">epic.com

明白了么,这不是区分的问题……
sunsan05
    199
sunsan05  
   2017-04-18 16:54:03 +08:00
我发现了。 WINDOWS 上是看不出来的。 MAC SAFARI 会显示真实地址。
doubleflower
    200
doubleflower  
   2017-04-19 10:11:02 +08:00
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2382 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 32ms · UTC 16:07 · PVG 00:07 · LAX 08:07 · JFK 11:07
Developed with CodeLauncher
♥ Do have faith in what you're doing.