“伪装域名”卷土重来：日文字符混淆钓鱼攻击盯上企业用户

一种隐蔽性极强的网络钓鱼手段正在全球范围内悄然回潮：攻击者利用日文平假名、片假名或特殊Unicode字符，构造与真实网站域名几乎一模一样的“假地址”，诱导用户登录虚假平台，进而窃取账号密码、多因素认证（MFA）验证码等敏感信息。这种被称为“同形攻击”（Homograph Attack）的手段，正成为企业财务、研发及高管账户的新威胁。

“长得像”不等于“是真的”

你有没有遇到过这样的情况：收到一封来自“support@paypαl.com”的邮件，提示你的账户存在异常？乍一看，这像是支付巨头PayPal的官方通知。但仔细观察——那个“α”，真的是英文字母“a”吗？

事实上，这个“α”很可能是希腊字母或日文片假名中的某个字符，它们在屏幕上显示时与拉丁字母几乎无法区分。这种利用不同语言字符外观相似性进行欺骗的技术，就是“国际化域名同形攻击”（Internationalized Domain Name Homograph Attack）。

近期，网络安全媒体《Cybersecurity News》披露，新一轮钓鱼攻击正大规模使用此类手法。攻击者注册包含日文假名或Unicode异体字符的域名，如将“m”替换为西里尔字母“м”，或将“o”替换为希腊字母“ο”，构造出形如“micrоsoft-login.com”（注意第二个“o”）或“gооgle-secure.net”的钓鱼网站。

“这不是简单的拼写错误，而是一场视觉欺骗战，”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“攻击者利用的是人类视觉系统的‘自动补全’习惯——我们看到一个‘像PayPal’的网址，大脑就会默认它是真的。”

攻击流程：从一封“发票”邮件开始

此次攻击的典型路径始于一封看似无害的邮件。内容多为“您的发票已生成”“有新文件待您审阅”或“账户安全需立即验证”。邮件中嵌入的链接指向一个外观与真实网站（如Microsoft 365、Google Workspace、Slack或银行网银）几乎完全一致的登录页面。

一旦用户输入账号密码，攻击者不仅获取凭证，更在页面中部署了“代理脚本”——这是一种隐蔽的中间人技术，能将用户的真实登录会话实时转发到官方服务器。这意味着，即使用户启用了多因素认证（MFA），当系统要求输入短信验证码或认证器APP生成的动态码时，攻击者也能同步获取并完成登录。

“MFA不再是‘万能锁’了，”芦笛强调，“在这种代理式钓鱼中，攻击者就像一个‘数字黄牛’，你输入的所有信息，包括验证码，都会被他们‘代提交’到真实网站，从而绕过安全机制。”

技术内核：IDN与Punycode的“双面性”

要理解这种攻击，需先了解“国际化域名”（IDN）技术。为了让全球用户能用母语（如中文、阿拉伯文、日文）注册和访问网站，互联网引入了IDN标准。但计算机网络底层仍依赖ASCII字符，因此IDN域名在传输时会被转换为一种名为“Punycode”的编码格式。

例如，一个包含日文字符的域名“例え.com”会被转换为“xn--r8jz45g.com”。浏览器在显示时，会自动将Punycode还原为可读的原字符。

攻击者正是利用了这一机制。他们注册包含易混淆字符的IDN域名，浏览器正常显示为“faсebook.com”（第三个“c”是西里尔字母），而安全系统若仅检查原始拼写或黑名单，很可能漏判。

“传统防御依赖‘关键词匹配’或‘已知恶意域名库’，”芦笛解释，“但这种攻击的域名是动态生成的，且每个字符都‘合法’，规则引擎很难识别这种跨脚本的字符混用。”

影响升级：从个人账户到企业核心系统

此类攻击的潜在危害远超普通钓鱼。一旦企业财务人员中招，可能导致虚假付款指令被发出；若研发人员登录虚假的GitHub或GitLab页面，攻击者可窃取源代码、API密钥甚至部署后门。

“更危险的是，这些钓鱼页面往往能通过SSL加密（显示小锁图标），”芦笛指出，“这让用户误以为‘有HTTPS就是安全的’，放松警惕。但实际上，HTTPS只证明连接加密，不保证网站真实性。”

防御升级：技术+流程+意识三管齐下

面对日益狡猾的字符混淆攻击，专家呼吁企业与个人采取多层次防御策略。

1. 启用Punycode显示模式

芦笛建议，用户可在浏览器或安全网关中开启“显示Punycode”选项。这样，所有IDN域名都会以“xn--”开头的编码形式显示，一眼就能识别异常。例如，“аррӏе.com”（使用西里尔字母）会显示为“xn--80ak6aa92e.com”，可疑性立即暴露。

2. 防御性注册“相似域名”

大型企业应提前注册与自身品牌名称相似的IDN变体，防止被攻击者抢注。例如，苹果公司可注册“аррӏе.com”等变体并主动屏蔽，形成“防御护城河”。

3. 部署前端字符检测脚本

企业可在内部系统前端加入检测逻辑，自动比对URL中字符的真实Unicode编码与预期值。若发现混用多种文字脚本（如拉丁+日文+西里尔），立即弹出警告。

4. 用户培训加入“视觉对比”环节

传统的安全培训常流于说教。芦笛建议加入“找不同”式视觉教材，如并列展示“payρal.com”（ρ为希腊字母）与真实PayPal网址，训练员工养成“放大看字符细节”的习惯。

5. 行为监控：捕捉异常访问模式

安全团队应监控员工设备首次访问包含多脚本混排的域名，尤其是伴随登录行为的场景。这类“高风险组合”往往是攻击前兆。

浏览器厂商也需担责

芦笛同时指出，浏览器厂商应承担更多责任。目前主流浏览器（如Chrome、Firefox）已对高风险IDN域名显示警告，但策略仍显保守。

“应推动更主动的警示机制，”他说，“比如对包含三种以上文字脚本的域名，强制显示Punycode或弹出‘此网站使用非常规字符’的提示，哪怕牺牲一点便利性，也要优先保障安全。”

结语：信任，需要更谨慎的验证

在互联网世界，我们习惯于“眼见为实”。但这场由字符混淆引发的钓鱼攻击提醒我们：视觉可信度正在被技术手段侵蚀。

无论是企业IT部门，还是普通用户，都需要重新审视“如何确认一个网站是真的”。答案不再是“看起来像”，而是“技术上可验证”。

正如芦笛所言：“网络安全的本质，是在便利与风险之间寻找平衡。当攻击者利用人类的视觉惯性时，我们必须用技术的严谨性来补足认知的盲区。”

这场“字符战争”尚未结束，但只要技术、流程与意识同步进化，我们依然能守住数字世界的信任底线。

编辑：芦笛（公共互联网反网络钓鱼工作组）