同形高级网络钓鱼攻击

下载选项

  • PDF     (324.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (76.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (60.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2015 年 9 月 11 日
文档 ID:200146

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍在高级网络钓鱼攻击中使用同形字符的方法,以及在思科邮件安全设备(ESA)上使用邮件和内容过滤器时如何了解这些同形字符。

同形高级网络钓鱼攻击

在当今的高级网络钓鱼攻击中,网络钓鱼邮件可能包含同义字符。 同形字是具有彼此基本相同或相似形状的文本字符。 可能有嵌入在钓鱼邮件中的URL不会被ESA上配置的邮件或内容过滤器阻止。

以下是一个示例情景:客户希望阻止包含www.ɑpypal.com URL的电子邮件。 为此,需要编写入站内容过滤器,用于查找包含www.paypal.com的URL。 此内容过滤器的操作将被配置为丢弃并通知。

客户收到包含如下内容的电子邮件示例:www.ɑpypal.com   

配置的内容过滤器包含:www.paypal.com

如果您查看通过DNS的实际URL,您会发现它们的解析方式不同:

$ dig www.pɑypal.com

; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A

;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400

;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com

; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8

;; QUESTION SECTION:
;www.paypal.com. IN A

;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128

;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.

;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73

;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470

第一个URL使用unicode格式的字母“a”的同形字。

如果你仔细看,你会发现贝宝中的第一个“a”实际上与第二个“a”不同。

在使用邮件和内容过滤器阻止URL时,请注意这一点。 ESA无法区分同形字符和标准字母字符。 正确检测和防止使用同形网络钓鱼攻击的一种方法是配置并启用OF和URL过滤。 

Irongeek提供一种用于测试同义字形和创建测试恶意URL的方法:同义字形攻击生成器

同形网络钓鱼攻击的详细介绍,也来自Irongeek:字符外:使用Punycode和同形网络攻击对网络钓鱼的URL进行模糊处理

修订历史记录

版本 发布日期 备注
1.0
11-Sep-2015
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品