除了常規(guī)手段以外，網(wǎng)絡(luò)罪犯還會利用社會工程的方式，試圖讓安全意識較弱的人泄露私人信息或是有價值的證書。很多網(wǎng)絡(luò)釣魚騙局的實質(zhì)都是攻擊者偽裝成信譽(yù)良好的公司或組織，然后借此大規(guī)模傳播病毒或惡意軟件。

[[315251]]攻擊" title="誤植攻擊">

誤植Typosquatting就是其中一個常用的手法。它是一種社會工程學(xué)的攻擊方式，通過使用一些合法網(wǎng)站的錯誤拼寫的 URL 以引誘用戶訪問惡意網(wǎng)站，這樣的做法既使真正的原網(wǎng)站遭受聲譽(yù)上的損害，又誘使用戶向這些惡意網(wǎng)站提交個人敏感信息。因此，網(wǎng)站的管理人員和用戶雙方都應(yīng)該意識到這個問題帶來的風(fēng)險，并采取措施加以保護(hù)。

一些由廣大開發(fā)者在公共代碼庫中維護(hù)的開源軟件通常都被認(rèn)為具有安全上的優(yōu)勢，但當(dāng)面臨社會工程學(xué)攻擊或惡意軟件植入時，開源軟件也需要注意以免受到傷害。

下面就來關(guān)注一下誤植攻擊的發(fā)展趨勢，以及這種攻擊方式在未來可能對開源軟件造成的影響。

什么是誤植?

誤植是一種非常特殊的網(wǎng)絡(luò)犯罪形式，其背后通常是一個更大的網(wǎng)絡(luò)釣魚騙局。不法分子首先會購買和注冊域名，而他們注冊的域名通常是一個常用網(wǎng)站的錯誤拼寫形式，例如在正確拼寫的基礎(chǔ)上添加一個額外的元音字母，又或者是將字母“i”替換成字母“l”。對于同一個正常域名，不法分子通常會注冊數(shù)十個拼寫錯誤的變體域名。

用戶一旦訪問這樣的域名，不法分子的目的就已經(jīng)成功了一半。為此，他們會通過電子郵件的方式，誘導(dǎo)用戶訪問這樣的偽造域名。偽造域名指向的頁面中，通常都帶有一個簡單的登錄界面，還會附上熟悉的被模仿網(wǎng)站的徽標(biāo)，盡可能讓用戶認(rèn)為自己訪問的是真實的網(wǎng)站。

如果用戶沒有識破這一個騙局，在頁面中提交了諸如銀行卡號、用戶名、密碼等敏感信息，這些數(shù)據(jù)就會被不法分子所完全掌控。進(jìn)一步來看，如果這個用戶在其它網(wǎng)站也使用了相同的用戶名和密碼，那就有同樣受到波及的風(fēng)險。受害者最終可能會面臨身份被盜、信用記錄被破壞等危險。

最近的一些案例

從網(wǎng)站的所有方來看，遭到誤植攻擊可能會帶來一場公關(guān)危機(jī)。盡管網(wǎng)站域名的所有者沒有參與到犯罪當(dāng)中，但這會被認(rèn)為是一次管理上的失職，因為域名所有者有主動防御誤植攻擊的責(zé)任，以避免這一類欺詐事件的發(fā)生。

在幾年之前就發(fā)生過一起案件，很多健康保險客戶收到了一封指向 we11point.com 的釣魚電子郵件，其中 URL 里正確的字母“l”被換成了數(shù)字“1”，從而導(dǎo)致一批用戶成為了這一次攻擊的受害者。

最初，與特定國家/地區(qū)相關(guān)的頂級域名是不允許隨意注冊的。但后來國際域名規(guī)則中放開這一限制之后，又興起了一波新的誤植攻擊。例如最常見的一種手法就是注冊一個與 .com 域名類似的 .om 域名，一旦在輸入 URL 時不慎遺漏了字母 c 就會給不法分子帶來可乘之機(jī)。

網(wǎng)站如何防范誤植攻擊

對于一個公司來說，最好的策略就是永遠(yuǎn)比誤植攻擊采取早一步的行動。

也就是說，在注冊域名的時候，不僅要注冊自己商標(biāo)名稱的域名，最好還要同時注冊可能由于拼寫錯誤產(chǎn)生的其它域名。當(dāng)然，沒有太大必要把可能導(dǎo)致錯誤的所有頂級域名都注冊掉，但至少要把可能導(dǎo)致錯誤的一些一級域名搶注下來。

如果你有讓用戶跳轉(zhuǎn)到一個第三方網(wǎng)站的需求，務(wù)必要讓用戶從你的官方網(wǎng)站上進(jìn)行跳轉(zhuǎn)，而不應(yīng)該通過類似群發(fā)郵件的方式向用戶告知 URL。因此，必須明確一個策略：在與用戶通信交流時，不將用戶引導(dǎo)到官方網(wǎng)站以外的地方去。在這樣的情況下，如果有不法分子試圖以你公司的名義發(fā)布虛假消息，用戶將會從帶有異樣的頁面或 URL 上有所察覺。

你可以使用類似 DNS Twist 的開源工具來掃描公司正在使用的域名，它可以確定是否有相似的域名已被注冊，從而暴露潛在的誤植攻擊。DNS Twist 可以在 Linux 系統(tǒng)上通過一系列的 shell 命令來運(yùn)行。

還有一些網(wǎng)絡(luò)提供商(ISP)會將防護(hù)誤植攻擊作為他們網(wǎng)絡(luò)產(chǎn)品的一部分。這就相當(dāng)于一層額外的保護(hù)，如果用戶不慎輸入了帶有拼寫錯誤的 URL，就會被提示該頁面已經(jīng)被阻止并重定向到正確的域名。

如果你是系統(tǒng)管理員，還可以考慮運(yùn)行一個自建的 DNS 服務(wù)器，以便通過黑名單的機(jī)制禁止對某些域名的訪問。

你還可以密切監(jiān)控網(wǎng)站的訪問流量，如果來自某個特定地區(qū)的用戶被集體重定向到了虛假的站點，那么訪問量將會發(fā)生驟降。這也是一個有效監(jiān)控誤植攻擊的角度。

防范誤植攻擊與防范其它網(wǎng)絡(luò)攻擊一樣需要保持警惕。所有用戶都希望網(wǎng)站的所有者能夠掃除那些與正主類似的假冒站點，如果這項工作沒有做好，用戶的信任對你的信任程度就會每況愈下。

誤植對開源軟件的影響

因為開源項目的源代碼是公開的，所以其中大部分項目都會進(jìn)行安全和滲透測試。但錯誤是不可能完全避免的，如果你參與了開源項目，還是有需要注意的地方。

當(dāng)你收到一個不明來源的合并請求Merge Request或補(bǔ)丁時，必須在合并之前仔細(xì)檢查，尤其是相關(guān)代碼涉及到網(wǎng)絡(luò)層面的時候。不要屈服于只測試構(gòu)建的誘惑; 一定要進(jìn)行嚴(yán)格的檢查和測試，以確保沒有惡意代碼混入正常的代碼當(dāng)中。

同時，還要嚴(yán)格按照正確的方法使用域名，避免不法分子創(chuàng)建仿冒的下載站點并提供帶有惡意代碼的軟件?？梢酝ㄟ^如下所示的方法使用數(shù)字簽名來確保你的軟件沒有被篡改：

gpg --armor --detach-sig \ 
  --output advent-gnome.sig \ 
  example-0.0.1.tar.xz 

同時給出你提供的文件的校驗和：

sha256sum example-0.0.1.tar.xz > example-0.0.1.txt 

無論你的用戶會不會去用上這些安全措施，你也應(yīng)該提供這些必要的信息。因為只要有那么一個人留意到簽名有異樣，就能為你敲響警鐘。

總結(jié)

人類犯錯在所難免。世界上數(shù)百萬人輸入同一個網(wǎng)址時，總會有人出現(xiàn)拼寫的錯誤。不法分子也正是抓住了這個漏洞才得以實施誤植攻擊。

用搶注域名的方式去完全根治誤植攻擊也是不太現(xiàn)實的，我們更應(yīng)該關(guān)注這種攻擊的傳播方式以減輕它對我們的影響。最好的保護(hù)就是和用戶之間建立信任，并積極檢測誤植攻擊的潛在風(fēng)險。作為開源社區(qū)，我們更應(yīng)該團(tuán)結(jié)起來一起應(yīng)對誤植攻擊。