Chrome、Firefox 和 Opera 用户注意了：这不是你想要访问的 apple.com

Web 开发者 Xudong Zheng 通过其博客报告了利用同形字符的域名钓鱼攻击。该攻击影响 Chrome(57)、Firefox 和 Opera 用户。域名代码 Punycode 让使用不同语言的字母注册域名成为可能，它的工作原理是将其它语言的字符转变成 ASCII 字符，举例来说，域名 “xn--s7y.co” 等价于“短. co”。但许多语言中的字符与常用 ASCII 字符外形极其相似，人眼很难区分。举例来说，域名 xn--pple-43d.com 等价于 аpple.com，这不是苹果公司的官网，аpple.com 中的 а 是西里尔字母中的 а（U+0430），不是 ASCII 中的 a (U+0061)。现代浏览器引入了机制限制同形攻击。但如果一个域名中的每一个字符都用同一种外国字母的相似字符替代，Chrome、Firefox 和 Opera 中的保护机制就失效了。比如 xn--80ak6aa92e.com 在这些浏览器地址栏上显示的就是 аррӏе.com。