在曩昔的几个月里，咱们做了一些有关创立 *** 垂钓电子邮件的研讨，这些创立的垂钓邮件足以诈骗那些专业的安全人员。因而，咱们正在研讨一个适当陈旧的安全论题：Punycode域和IDN同形异义词进犯。 Punycode是一种特别的编码，用于将Unicode字符转换为ASCII。这儿运用bücher.example的示例域来阐明其编码进程。 bücher转换为Punycode成果为bcher-kva。然后以xn--为前缀，生成xn--bcher-kva。因而DNS记载为xn--bcher-kva.example。 但这也能够用来诈骗用户拜访歹意的URL。2019年，Xudong Zheng撰写了一篇关于运用Unicode域进行 *** 垂钓的博文。他们为apple.com创立了一个PoC域，并运用了西里尔字母‘a’ – ，而浏览器以Unicode表明，这使得即便是有经历的用户也很难发现进犯。与此同时，除Firefox之外的一切浏览器都默许以Punycode表明，尽管这消除了Web浏览器中的大多数进犯。但针对邮件的诈骗进犯呢？ 能够说Unicode域似乎是完成近乎完美的 *** 垂钓邮件的一种办法。 为了创立一个PoC，咱们注册了域а1.digital，其间‘а’等同于西里尔字母的а (U+0430)。 咱们感兴趣的是干流的电子邮件客户端是怎么处理从Punycode域发送的电子邮件的，以及他们选用哪种安全机制来经过此特定向量发现潜在的 *** 垂钓进犯。 咱们查看了以下产品： Outlook for Windows Outlook Mobile Office365 Web (outlook.office365.com) Gmail Web Gmail Android Mail for iPhone Thunderbird 咱们测验了不同的向量： 发送电子邮件运用Punycode编码的“FROM”字段 (示例：FROM: Bud Spencer ) 发送电子邮件运用Unicode编码的“FROM”字段 (示例：FROM: Bud Spencer ) 发送带有合法“FROM”字段的电子邮件，但运用Punycode编码或Unicode编码的电子邮件地址假造“Reply-To”(示例：FROM: Bud Spencer , Reply-To: Bud Spencer ) 场景如下：Bud Spencer（bud.spencer@a1.digital）遭到歹意进犯者的假充，Terence Hill写了一封包含以下内容的电子邮件： Hello Terence,You can find the registration link for our security awareness training below:https://а1.digital/security-awareness-trainingKind RegardsBud 成果如下表： 鄙人文中，咱们将介绍此研讨的具体成果，包含测验应用程序的屏幕截图以及成功的进犯向量。 Outlook for Windows 测验版别为：Office 365 16.0.11328.20286 以下电子邮件是运用Punycode编码的“FROM”字段发送的 如上所示，Outlook会向用户宣布正告。但大多数用户都不会留意到正告。咱们进行下改善，运用合法的“FROM”字段但“Reply-To”字段运用Punycode编码，创立内容如下： 能够看到没有正告！以下截图显现，在回复假电子邮件时无法辨认进犯。请留意，在该示例中，受害者正在回复进犯者。 留意：Outlook 2019在收到上述假电子邮件时以Punycode表明。运用Unicode编码的“FROM”字段感知 *** 垂钓电子邮件时，进犯将无法辨认。 Outlook Mobile for Android 测验版别为：3.0.63 (319) 测验电子邮件别离以Unicode和Punycode编码发送。可是，如下所示Outlook for Android一直以Punycode表明，答应用户检测进犯。 Office365 Web (outlook.office365.com) 下面的电子邮件是运用а1.digital的Unicode表明发送的 – 在这种情况下，用户无法辨认此 *** 垂钓电子邮件，即便在回复时也是如此。 Gmail Web 而Gmail就十分有意思了 – 它是现在运用最广泛的 *** 邮件之一。收到电子邮件（Punycode发件人，以Unicode格局发送时，Gmail服务器将不会承受该电子邮件）时，无法检测到 *** 垂钓进犯。此外，Google垃圾邮件维护服务也未将其归类为垃圾邮件。 在扩展的具体信息中能够看到，电子邮件是由xn--1-7 *** .digital签名的 – 这是由于DKIM签名。咱们运用了一个外部电子邮件提供商签名一切传出邮件 – 咱们当然能够在设置咱们自己的电子邮件服务器时停用它，这将会让进犯更为荫蔽。缺陷是，假如没有有用的DKIM签名，SPAM得分就不会那么好。 最有意思的是，在回复 *** 垂钓邮件时，Gmail会经过以下音讯正告用户： [1][2]黑客接单网