3月7日,知名数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。
根据币安交易所的公告,有31个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。
这几天关于此事的新闻很多,但绝大多数都是从事件本身出发,对数字货币的影响、对交易平台的影响等。
最关键的一点没人提及:到底钓鱼事件是怎么发生的,作为币安的普通用户,我们应该如何防御此类攻击?
一年前,华裔学生报告unicode钓鱼漏洞
在币安交易所发布的公告中指出,本次攻击,黑客使用了“unicode钓鱼手法”,这个是什么鬼?估计99%的记者没看懂。
2017年4月14日,在约翰霍普金斯大学研究数学的学生xudong zheng发表了一篇论文,题目是《Phishing with Unicode Domains》,中文大意为“用unicode网址钓鱼”。文章中给出了一种钓鱼的方法,多语言字符混合来骗过用户的眼睛。
安全专家向黑奇士表示,咱们使用的浏览器,是以英文为基础的,包括网址在开始也是仅能解析英文,所谓的unicode编码。
为了让浏览器支持多语言,有人开发了punycode编码,这套编码可以让世界上其他的语言可以被浏览器“理解”,比如中文、俄文、韩语。
例如,你要访问苹果网站,在最早你必须输入英文的apple.com;后来中国的cnnic、3721等公司,相继开发了自己的插件,让浏览器支持“新浪.com”、”“百度.com”这样的域名。Punycode就相当于一款语言插件(编码标准),被内置在了主流浏览器当中。
但使用puycode编码的网址会有一个问题,比如中文拼音的 ü,跟英文单词的u,看起来非常像(一个头上有两点,一个没有),但这套
