谷歌检索上的各类恶意使用和钓鱼站点广告屡见不鲜,这种操控手法已然相当成熟,都是先做一个看似合规的站点去投放广告,等谷歌审核经由了再把落地页更改为恶意信息。
之前蓝点网已然注意到火绒可靠、网友上影节一览搜狗输入法、志愿者专题微信、Telegram、WhatsApp、Signal 等检索词顶部呈现钓鱼站点广告,但这些站点相对来说还较为常规,由于域名普通都是乱七八糟的。
但万万没想到如今居然有黑客使用海外化域名编码 (Punycode) 来投放广告,揭秘电池续航网友观点两极分化这类域名看起来和官网域名没有任何差别,危害程度极高。
可靠企业 Malwarebytes 察觉在谷歌上有黑客经由谷歌广告操控系统投放针对密码治理器 Keepass 的本周平板Pro评论钓鱼广告,这个钓鱼广告显示的域名是 https://ķeepass.info/,而 Keepass 的真官网域名是 https://keepass.info/
你看出来这两个网址之间的区别了吗?答案是ķ,这是拉脱维亚语字母表中的第 17 个字母,底下是带有音调符号的。
这种非规范字符无法在 DNS 操控系统里直接确认,所以 Punycode 操控系统会将其开展转码,所以这个钓鱼站点实际在阅读器中会被显示为 https://xn—eepass-vbb.info/
难题在于谷歌广告下并不会对域名开展转码,而是以黑客投放广告的域名为准,所以在谷歌检索里可以目睹广告就是 keepass.info,乃至ķ下面的音调都没显示,于是这看起来就是真的 Keepass 官网。
当下谷歌已然撤掉这个广告,可是后续估计会有更多黑客使用 Punycode 操控系统来开展更为精细的钓鱼攻击。