過去寫過好幾篇文章強(qiáng)調(diào)信息安全的重要性了，但還是會碰到有朋友來問，信息丟了怎么辦、網(wǎng)站被黑了怎么辦。

其實(shí)等問題出現(xiàn)之后，再想采取什么補(bǔ)救措施就比較難了，畢竟損失已經(jīng)不可挽回，且也不確定能不能恢復(fù)原樣。

那今天這篇文章簡單分享一個使用轉(zhuǎn)碼域名釣魚的案例，多了解點(diǎn)這方面的信息以防上當(dāng)。

這是一條今天的新聞消息，主要內(nèi)容說的是有黑客團(tuán)隊(duì)惡意利用知名的開源密碼管理器 KeePass 的代碼，在其源代碼中添加勒索軟件。

黑客團(tuán)隊(duì)會通過 Brand Bid 付費(fèi)投放的方式，去推廣他們做的代碼版本。

那一旦由有用戶通過付費(fèi)廣告進(jìn)到他們的網(wǎng)站，并使用他們提供的有毒版本的軟件后，那后續(xù)的敏感信息就都泄漏了。

那問題來，這種惡意軟件是怎么通過搜索廣告的審核機(jī)制，并順利完成付費(fèi)推廣的呢？

我專門去搜索了一張，這款惡意軟件的投放信息截圖。上面那個廣告便是黑客投放的惡意軟件（李鬼），下面那個結(jié)果則是官方正版網(wǎng)站。

那現(xiàn)在暫停一分鐘，你好好去看看這兩個信息的區(qū)別。

表面上看，兩者的根域名一模一樣，幾乎做到了以假亂真。如果不具備這塊的專業(yè)知識，基本就被欺騙過去了（我自己第一眼看也沒發(fā)現(xiàn)任何異常）。

但是這里就涉及到一個專業(yè)的技術(shù)小知識，字符的編碼方式。

其實(shí)上圖中的廣告，真實(shí)的域名地址是 ?eepass.info（注意 k 字符下有個小點(diǎn)點(diǎn)，是拉脫維亞語字母表中的第 17 個字母，并不是你的屏幕臟了）。

而 KeePass 的展示域名則是 keepass.info，兩者的唯一區(qū)別就是字符 k 的差異。

那為什么上面截圖中，兩個域名的根路徑看起來一模一樣？

這里就牽涉到國際化域名編碼（Punycode）了，因?yàn)檫@種非標(biāo)準(zhǔn)字符無法在 DNS 系統(tǒng)里直接解析，那 Punycode 系統(tǒng)會將其進(jìn)行轉(zhuǎn)碼。

但是谷歌廣告系統(tǒng)則不會對這種域名進(jìn)行轉(zhuǎn)碼，甚至字符 k 下面的那個聲調(diào)符號都沒有顯示出來，于是看起來就與真網(wǎng)站的域名并無二異了。

注：事件發(fā)酵之后，谷歌廣告已經(jīng)將上面的廣告撤掉了。

所以這種轉(zhuǎn)碼域名的高級玩法，后續(xù)我們就需要多注意了。尤其是我們外貿(mào)過程中接觸的比較多的郵件，簡直就是這種轉(zhuǎn)碼域名惡意利用的重災(zāi)區(qū)。

而且我看了今天由第三方安全機(jī)構(gòu)披露出來的信息，已經(jīng)有好多款工具被這種轉(zhuǎn)碼玩法盯上了。

那不管怎樣吧，我們平時在做信息下載或者信息上傳的過程中，多留心多驗(yàn)證，數(shù)據(jù)做定期性的備份，甚至是線上線下多出備份。