V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
liaa
V2EX  ›  程序员

提醒 V 友, 防不胜防的钓鱼网址

  liaa · 2017-04-16 10:57:55 +08:00 · 25199 次点击
这是一个创建于 2538 天前的主题,其中的信息可能已经有所发展或是发生改变。

原始网站: epic.com

钓鱼网站: epic.com

打开后看地址栏,你觉得你能分辨的出来么?

第 1 条附言  ·  2017-04-16 15:18:12 +08:00
做了一个 Chrome 插件来防止被钓鱼, 希望对 V 友有用.

下载地址: https://chrome.google.com/webstore/detail/real-domain-name/lhbkkikjboiebjeghokpefafaahnfoff
GitHub: https://github.com/liaa/real_domain_name

第 2 条附言  ·  2017-04-18 23:39:12 +08:00

稍微更新了一下:

  1. 自动提示 (Notification)
  2. 危险标记

real domain name

205 条回复    2019-05-30 08:30:42 +08:00
1  2  3  
mrjoel
    1
mrjoel  
   2017-04-16 11:00:55 +08:00 via iPhone
NB
yaerma
    2
yaerma  
   2017-04-16 11:00:59 +08:00
这什么情况?
vizards
    3
vizards  
   2017-04-16 11:02:08 +08:00 via iPhone
这有分辨不出吗……特殊字符到了地址栏不是会变吗
Tyanboot
    4
Tyanboot  
   2017-04-16 11:02:12 +08:00
分辨不出来,除了查看一下证书。。
hand515
    5
hand515  
   2017-04-16 11:02:19 +08:00
两个不是一样吗?我都看不出哪里不同
allenlee7c9
    6
allenlee7c9  
   2017-04-16 11:02:31 +08:00 via Android
不是英文字母?
mokeyjay
    7
mokeyjay  
   2017-04-16 11:02:46 +08:00
Windows 下 Chrome 看起来一模一样,大概是某个 unicode 字符?但是却没有被 url 编码,奇怪了
wanttofly
    8
wanttofly  
   2017-04-16 11:02:56 +08:00   ❤️ 1
@hand515 复制一下 url 然后粘贴你就知道了。。
heart4lor
    9
heart4lor  
   2017-04-16 11:03:09 +08:00
俄文 c?
x86
    10
x86  
   2017-04-16 11:03:33 +08:00
sunsol
    11
sunsol  
   2017-04-16 11:04:02 +08:00
这种还真难注意到
lavasing
    12
lavasing  
   2017-04-16 11:04:19 +08:00 via Android
https://ooo.0o0.ooo/2017/04/16/58f2deba8c1de.png
https://ooo.0o0.ooo/2017/04/16/58f2debaaa102.png
是不是用了西里尔字母?
sunsol
    13
sunsol  
   2017-04-16 11:04:27 +08:00
一个其实是 https://www.\u0435\u0440\u0456\u0441.com/
iot
    14
iot  
   2017-04-16 11:04:51 +08:00
搞个显示 ip 的浏览器插件
microget
    15
microget  
   2017-04-16 11:08:39 +08:00
第二个点进去是提示这个
---------------------------------
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
cy18
    16
cy18  
   2017-04-16 11:08:55 +08:00
这钓鱼太给力了…… Chrome 表示完全看不出来……
geelaw
    17
geelaw  
   2017-04-16 11:16:52 +08:00
Edge 似乎要求你的电脑具有那种语言才能显示那个语言的 Unicode 域名



<img src=" ">
fcj558
    18
fcj558  
   2017-04-16 11:18:52 +08:00 via iPad   ❤️ 4
很多论坛的 ID 也可以这样伪造,用的俄语字母。
sunsol
    19
sunsol  
   2017-04-16 11:21:09 +08:00
这个还跟 dns 有关, www.\u0435\u0440\u0456\u0441.com 用 idna 编码结果就是 www.xn--e1awd7f.com 才会这样。
jackantony
    20
jackantony  
   2017-04-16 11:21:12 +08:00
Chrome 点进去就有提示啊。 @microget 我也是你这个提示。。。难道 @cy18 你的 chrome 没提示?
crab
    21
crab  
   2017-04-16 11:23:31 +08:00
@jackantony 这提示不是 chrome 触发的。是发现这个 unicode 漏洞问题的把这个域名挂了这个页面吧
zixianlei
    22
zixianlei  
   2017-04-16 11:23:43 +08:00
这个就吊了!
geelaw
    23
geelaw  
   2017-04-16 11:23:52 +08:00
另外我当前的设置下 hover 链接之后会显示 ASCII 版本的域名,于是可以发现,但是如果粘贴 Unicode 域名到 address bar 会自动翻译为 ASCII 版本,因此“复制如下地址并粘贴”也能成功钓鱼。
xrlin
    24
xrlin  
   2017-04-16 11:27:20 +08:00 via iPhone
这个厉害,完全看不出来
Seymer
    25
Seymer  
   2017-04-16 11:27:51 +08:00   ❤️ 1
Sh888
    26
Sh888  
   2017-04-16 11:30:02 +08:00
very helpful
qqfs
    27
qqfs  
   2017-04-16 11:30:44 +08:00
666 不用 js 还看不出来 window.location.host 。
crab
    28
crab  
   2017-04-16 11:30:51 +08:00
查了下,西里尔字母。
https://unicode-table.com/cn/blocks/cyrillic/
部分字母和英文字母一样
hornets
    29
hornets  
   2017-04-16 11:34:34 +08:00
<a href="https://www.epic.com/" rel="nofollow noopener">epic.com</a>
<a href="https://www.xn--e1awd7f.com/" rel="nofollow noopener">epic.com</a>
不太懂你是啥想法
FYK
    30
FYK  
   2017-04-16 11:34:40 +08:00
同#15
Jacky001
    31
Jacky001  
   2017-04-16 11:36:27 +08:00
mac 下 chrome 有提示

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
iPhone8
    32
iPhone8  
   2017-04-16 11:38:56 +08:00
@hornets 29 楼说的对啊,这个就是一个超链接锚文本的伎俩。

就算楼主想给出某个特殊字符的网址也要给对啊,复制第二个网址的锚文本,进入的还是原始网站。所以说,楼上那一群惊呼的都是在扯淡。。
mengzx
    33
mengzx  
   2017-04-16 11:38:57 +08:00 via Android
很有用,谢谢
Jacky001
    34
Jacky001  
   2017-04-16 11:39:27 +08:00
我测试了 mac 和 windows 两个平台,四个浏览器,都要么有我上面说到的提示,要么自动显示正确的 url ,没法钓鱼吧
cy18
    35
cy18  
   2017-04-16 11:39:27 +08:00
@jackantony 这个不是 Chrome 的提示,这个是后面那个网址里面的网站内容。后面那个网站是为了演示漏洞所以加了提示。如果由其他网站用这个漏洞搞钓鱼在 Chrome 里面完全看不出来……
justfun
    36
justfun  
   2017-04-16 11:42:51 +08:00   ❤️ 1
@Jacky001 这不是浏览器的提示= = 这个网站就是个演示啊 才告诉你的
bkmi
    37
bkmi  
   2017-04-16 11:43:01 +08:00
666 这个帖子也钓出不少小白啊,网页内容当提示的
iPhone8
    38
iPhone8  
   2017-04-16 11:43:13 +08:00
@iPhone8 #32 我知道为什么你们惊呼了,因为你们用的 chrome ,我用的 Safari 没问题的。目测是 chrome 显示问题。 url 应该向 Safari 学习。
justfun
    39
justfun  
   2017-04-16 11:44:06 +08:00
哈哈哈 楼上两位说浏览器有提示的好可爱
kava
    40
kava  
   2017-04-16 11:44:13 +08:00
厉害了,防不胜防。


@Jacky001 这不是提示,这是那个网站。 IE 正常显示了 url
cabbage
    41
cabbage  
   2017-04-16 11:44:55 +08:00 via Android
其实这个特性是可以用来显示 emoji 域名的。。。没想到还能用来钓鱼
cabbage
    42
cabbage  
   2017-04-16 11:47:10 +08:00 via Android
https://❤️❤️❤️.ws/
就比方说这个 emoji 域名
phrack
    43
phrack  
   2017-04-16 11:48:53 +08:00 via Android   ❤️ 1
没想到这个帖子钓出来不少小白´・ᴗ・`
zjqzxc
    44
zjqzxc  
   2017-04-16 11:51:28 +08:00
@hornets 29#
在 chrome 中,即使鼠标移动到下面那个链接上,显示的网址也是 www.epic.com ,点开后地址栏同样显示的时 www.epic.com ,不查看源代码的情况下,很难分辨。。
505243267
    45
505243267  
   2017-04-16 11:51:59 +08:00
@iPhone8 钓鱼链接的е、р、і、с都是小写的西里尔字母。
https://www.еріс.com
cuteshell
    46
cuteshell  
   2017-04-16 11:52:13 +08:00
jackantony
    47
jackantony  
   2017-04-16 11:53:09 +08:00
@phrack 纯外行进 V2EX 里来凑热闹的。。。小白见过大神
505243267
    48
505243267  
   2017-04-16 11:58:39 +08:00
@zjqzxc chrome 下,在地址栏中复制钓鱼网站的地址,再在原处粘贴,就可以分辨了。
Blazings
    49
Blazings  
   2017-04-16 12:08:16 +08:00
chrome 下没办法分辨, 只有复制网址, 还有显示网站 IP 才能分辨, 太厉害了, 怎么做的
Aquamarine
    50
Aquamarine  
   2017-04-16 12:21:18 +08:00
肉眼根本分辨不出来, Windows 下的 Chrome 设计倒退,要看证书很麻烦,需要进开发者工具,如果是原来的就好多了。

@microget @Jacky001 这个应该是网页设计者放上去的吧,也就是说如果真要钓鱼不会让你这么容易看出来。
SourceMan
    51
SourceMan  
   2017-04-16 12:22:47 +08:00 via iPhone
@justfun 见过大大大大大神!!!!!
zjqzxc
    52
zjqzxc  
   2017-04-16 12:25:00 +08:00
@505243267 并不是说无法分辨,而是很难分辨;一般来说打开网页扫一眼网址这个习惯的成本时很低的,但是打开一个网页还要把地址栏复制再粘贴出来,在网址很长的时候分辨域名就要产生很大操作成本了。
ksmter
    53
ksmter  
   2017-04-16 12:25:06 +08:00
换了字体,一目了然。。。
iPhone8
    54
iPhone8  
   2017-04-16 12:31:12 +08:00
@505243267 对,是 chrome 自己的问题, Safari 表示打开 url 后一眼假
Aquamarine
    55
Aquamarine  
   2017-04-16 12:31:32 +08:00
@justfun 请教下,结合 17 楼 @geelaw 28 楼 @crab 40 楼 @kava 给的提示,是 IE 对编码支持更好是吗?
lilifenghao44
    56
lilifenghao44  
   2017-04-16 12:32:41 +08:00   ❤️ 9
chrome 点击 https 不显示证书,就是一个愚蠢的改动
Aquamarine
    57
Aquamarine  
   2017-04-16 12:33:19 +08:00
@ksmter 这是字体的问题?
Aquamarine
    58
Aquamarine  
   2017-04-16 12:33:58 +08:00
@lilifenghao44 非常赞同,如我 50 楼所说,估计 Chrome 后续会有改进了。
ksmter
    59
ksmter  
   2017-04-16 12:52:43 +08:00
@Aquamarine 不是。只是通过字体就能看出这是有问题的网站,至少我是不会上当了
abmin521
    60
abmin521  
   2017-04-16 12:56:49 +08:00
40huo
    61
40huo  
   2017-04-16 12:56:52 +08:00
这个服气,一点也看不出来。。。
mojia
    62
mojia  
   2017-04-16 12:57:15 +08:00
确实要注意啊
HuangLibo
    63
HuangLibo  
   2017-04-16 13:01:29 +08:00
Safari 大法好
Aquamarine
    64
Aquamarine  
   2017-04-16 13:03:56 +08:00
@abmin521 我估计 @lilifenghao44 和我 50 楼的意思一样,就是点击链接栏没发直接看到证书,要进入开发者工具才能看到,非常麻烦。
Jacky001
    65
Jacky001  
   2017-04-16 13:04:47 +08:00 via iPhone
@justfun
@kava
@Aquamarine 如果这样说,我完全被钓鱼了
Aquamarine
    66
Aquamarine  
   2017-04-16 13:08:15 +08:00
@Jacky001 我也一样,因为地址栏看不到证书了,没法肉眼确认。刚刚搜索了才知道新版 Chrome 在哪儿看证书。
skylancer
    67
skylancer  
   2017-04-16 13:09:26 +08:00
首先要喷 Chrome ,检查证书居然要 F12 ,真心脑残的改动,以前多方便点一下就能看到了

另外 EDGE 是能在左下角显示正确的链接,鼠标移上去就能看到了
Chrome GGWP
geelaw
    68
geelaw  
   2017-04-16 13:09:44 +08:00
@Aquamarine 不是,只是 Edge 没有选择显示一个用户不认识语言的域名名字。
Domains
    69
Domains  
   2017-04-16 13:11:39 +08:00
@Jacky001 我不会英文,但我还是先用翻译。
peng2ex
    70
peng2ex  
   2017-04-16 13:11:46 +08:00
用 chrome 打开 直接出现以下提示: 表示钓不到鱼

This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
sola97
    71
sola97  
   2017-04-16 13:13:13 +08:00
@peng2e #70 这是测试网页吧,真搞个高仿就不好说了
codehz
    72
codehz  
   2017-04-16 13:13:42 +08:00
为啥我 Chrome 是这个效果,我记得之前还是能支持 punycode 的显示的。。。现在那几个 emoji 域名也全部都是原始字符了。。。。
http://i1.piimg.com/567571/18ea34fc4f28a70a.png
bearqq
    73
bearqq  
   2017-04-16 13:16:09 +08:00 via Android   ❤️ 3
我也来说两句
以前看过一个帖子,如何将 xss 的 js 地址缩短。域名当然越短越好,但是毕竟域名要砸钱,而且很难拿到很短的。那么可以从浏览器打主意。
首先是用中文等字符,酱.io 只要 5 个字符(是 5 吧?),而注册的域名却是长域名,便宜。
除了.以前的可以缩减,之后的也可以,比如著名的免费域名.ml ,可以缩减为.㎖,部分浏览器会将㎖解析为 ml 。就像把 www 。 baidu 。 com 解析为 www.baidu.com 那样。

所以,你们可以试试访问这个地址 http://酱.㎖
年久失修,地址内容没了,不过不影响。
peng2ex
    74
peng2ex  
   2017-04-16 13:16:18 +08:00
@sola97 这个和页面是不是高仿没有关系吧。
chust
    75
chust  
   2017-04-16 13:16:30 +08:00
@peng2e #70 又一个不看回帖的。。。
msg7086
    76
msg7086  
   2017-04-16 13:17:33 +08:00   ❤️ 1


没毛病啊?
Aquamarine
    77
Aquamarine  
   2017-04-16 13:30:36 +08:00
@chust 估计帖子太多看不过来了, @peng2e 和 @msg7086 提到的,前面早说过多遍了。其实看下网页内容,有能力的看下代码就知道了。
Aquamarine
    78
Aquamarine  
   2017-04-16 13:31:36 +08:00
@codehz 请问你的 Chrome 自带反钓鱼是如何实现的?求传授。
deljuven
    79
deljuven  
   2017-04-16 13:35:51 +08:00
具体来说是国际化域名(IDN)的锅, https://en.wikipedia.org/wiki/Internationalized_domain_name
不过确实来说是浏览器本身 feature 引入带来的安全性 bug ……
jiao142857
    80
jiao142857  
   2017-04-16 13:39:46 +08:00
复制不同的部分 粘贴得到的不一样(我是不是还没懂?
https://ooo.0o0.ooo/2017/04/16/58f303757142e.jpg
aznmv3
    81
aznmv3  
   2017-04-16 13:41:11 +08:00
@iPhone8 并不是什么超链接技巧,这是一个俄文域名,只是 chrome 支持你的电脑的语言跟 Unicode 域名的语言不一致时也能正常显示 Unicode 域名而不是只能显示转码后的网址。这是对 Unicode 域名支持不友好的表现,反而是 Safari 应该向 Chrome 学习。
Yvette
    82
Yvette  
   2017-04-16 13:44:49 +08:00
有点懵
msg7086
    83
msg7086  
   2017-04-16 13:46:10 +08:00
@Aquamarine 什么鬼?这地址栏不是很清楚了吗?为什么要看网页内容?
nicevar
    84
nicevar  
   2017-04-16 13:46:31 +08:00
@peng2e 你还没搞明白这个网页就是展现一下这个问题的测试效果,还什么钓不到鱼
imgalaxy
    85
imgalaxy  
   2017-04-16 13:48:06 +08:00 via Android   ❤️ 1
@bearqq 其实.也可以缩减哦
isCyan
    86
isCyan  
   2017-04-16 13:48:43 +08:00
桌面 Chrome 完全没区别,安卓 Chrome 可以看出来
nicevar
    87
nicevar  
   2017-04-16 13:49:30 +08:00
这个问题确实有点严重,普通用户很容易中招了
coolcoffee
    88
coolcoffee  
   2017-04-16 13:50:06 +08:00
眼见果然不能为实,使用编程语言的判断符,看起来明明一样的的,就是为 false 。

还好高等级的 EV 证书会直接显示公司名称。

话说回来,小白刚学完怎么防止域名钓鱼。结果时代变化,又要再多看一步证书来验证真伪了。
UnknownR
    89
UnknownR  
   2017-04-16 13:56:07 +08:00
提示是这个网站本身的,这是个 demo 网站,和平台还有浏览器没关系。其次看证书就可以,但是对于普通用户完全是个无法分辨的完美网站
gzany
    90
gzany  
   2017-04-16 13:57:27 +08:00
厉害!真搞个钓鱼高仿 chrome 下完全看不出来。
bearqq
    91
bearqq  
   2017-04-16 13:58:08 +08:00 via Android
@imgalaxy 嗯 原文有点长,好像提到了。视觉相同的字符也提到了,就像本帖这样的。许久以前的事了,最后笔记留下的就这个域名和符号㎖
bukip
    92
bukip  
   2017-04-16 14:11:30 +08:00
This is a page to demonstrate a unicode vulnerability that currently exists in Chrome and Firefox. The domain above is not the real epic.com. It is actually the unicode domain: https://www.xn--e1awd7f.com/

This demonstrates how attackers can use phishing campaigns to imitate legitimate domains and fool users into entering sensitive data on a malicious website.

Please click here to return to the blog post on wordfence.com discussing this issue.

This site is not epic.com and has no affiliation with epic.com or Epic Systems Corporation. This page is not endorsed in any way by the owners of epic.com. To visit the real epic.com, you can click here.
codehz
    93
codehz  
   2017-04-16 14:11:41 +08:00
@Aquamarine 大概是版本问题, 我用的版本是 60.0.3072.0
PS: Chrome 居然已经把版本号刷到 60 了。。。。
aocif23
    94
aocif23  
   2017-04-16 14:29:43 +08:00
精了,火狐和 chrome 都 gg,但用 ie11(win8.1)居然能显示出原来的网址
wpaygp
    95
wpaygp  
   2017-04-16 14:36:47 +08:00
用 Chrome 表示打不开钓鱼网址 你们用的是假 Chrome 吗
ks3825
    96
ks3825  
   2017-04-16 14:37:02 +08:00 via Android
持续关注…我是肯定会中招了,一般情况下防不住
wpaygp
    97
wpaygp  
   2017-04-16 14:38:08 +08:00
@codehz 我的版本表示是这个 Version 57.0.2987.133 (64-bit) 也一样打不开钓鱼网站
vinsony
    98
vinsony  
   2017-04-16 14:49:24 +08:00   ❤️ 1
火狐和 chrome 自作聪明的 url 显示方式本来就很 sb
iPhone8
    99
iPhone8  
   2017-04-16 14:56:34 +08:00
@aznmv3 那以后,会出现『日.com 』和『曰.com 』。世界各国那么多语言,分辨起来会更加困难,特别是韩语,都像一个字似的。所以你的想法是绝对错误的。
iRiven
    100
iRiven  
   2017-04-16 14:57:30 +08:00 via Android
Android chrome 完全看不出来
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1583 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 32ms · UTC 16:58 · PVG 00:58 · LAX 09:58 · JFK 12:58
Developed with CodeLauncher
♥ Do have faith in what you're doing.