同形字高級網路釣魚攻擊

下載選項

  • PDF     (337.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (76.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (60.6 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2015 年 9 月 11 日
文件 ID:200146

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹在高級網路釣魚攻擊中使用同形字元,以及在思科郵件安全裝置(ESA)上使用郵件和內容過濾器時如何瞭解這些字元。

同形字高級網路釣魚攻擊

在當今的高級網路釣魚攻擊中,網路釣魚郵件可能包含同義字元。 同形字是形狀幾乎相同或相似的文本字元。 ESA上配置的郵件或內容過濾器不會阻止嵌入在釣魚電子郵件中的URL。

以下是一個示例情況:客戶希望阻止包含www.ɑpypal.com URL的電子郵件。 為此,需要編寫入站內容過濾器,以查詢包含www.paypal.com的URL。 此內容過濾器的操作將被配置為丟棄並通知。

客戶收到電子郵件範例:www.ɑpypal.com   

內容篩選依據設定包含:www.paypal.com

如果您檢視透過DNS的實際URL,會發現它們以不同方式解析:

$ dig www.pɑypal.com

; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A

;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400

;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com

; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8

;; QUESTION SECTION:
;www.paypal.com. IN A

;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128

;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.

;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73

;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470

第一個URL使用Unicode格式字母「a」的同形字元。

如果你仔細看,你會發現paypal中的第一個「a」實際上與第二個「a」不同。

使用郵件和內容過濾器阻止URL時,請務必留意。 ESA無法辨別同形字元和標準字母字元之間的差異。 正確檢測和防止使用同形網路釣魚攻擊的一種方法是配置並啟用OF和URL過濾。 

Irongeek提供測試同形字和建立測試惡意URL的方法:同形字攻擊生成器

同形字形網路釣魚攻擊詳細說明,也來自Irongeek:字元不足:使用雙碼和同形字形攻擊對網路釣魚的URL進行模糊處理

修訂記錄

修訂 發佈日期 意見
1.0
11-Sep-2015
初始版本
TAC Authored

由思科工程師貢獻

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品