以假乱真的Punycode钓鱼测试 360浏览器成功防御

　　最近，一种号称“几乎无法检测”的钓鱼网址攻击方法被曝光。利用浏览器漏洞，黑客可以把钓鱼网站的网址任意显示为知名网站的官网地址，比如你看到的是网上银行、网上支付或电子邮箱的官网地址，实际打开的却是一个仿冒他们页面的钓鱼网站，输入账号密码就会被盗!

　　这种攻击方法名为Punycode钓鱼，其实是利用浏览器对不同语言字符的转化处理，制造的“同形异义字”伪装。简单地说，你在浏览器地址栏里看到的网址，并不是它真正的网址。究竟有哪些浏览器会受到Punycode钓鱼影响呢，现在就让我们对国内外流行的六大浏览器进行实战测试，看看谁能够火眼金睛发现钓鱼网站!

　　以苹果官网为例，【xn--80ak6aa92e.com】可以在有漏洞的浏览器上显示为苹果官网地址，我们分别用不同的浏览器进行测试，结果如下：

　　一、Chrome浏览器，存在漏洞

　　地址栏显示的是www.apple.com，但是页面明显不是苹果官网，而是漏洞测试页面。谷歌官方已经表态将在本月晚些时候修复漏洞。

　　二、Firefox浏览器，存在漏洞

　　Firefox用户可以手工屏蔽漏洞，解决方法：1、在浏览器地址栏中输入about:config，并按回车键。2、在搜索栏中输入Punycode。3、浏览器设置将显示network.IDN_show_punycode参数，双击或者右键选择Toggle，将值改为“True”。

　　三、360安全浏览器，成功防御

　　尽管默认使用的是谷歌Chromium内核，360安全浏览器却没有受到Punycode钓鱼攻击的影响，浏览器地址栏会显示真实的网址。

　　四、搜狗浏览器，存在漏洞

　　同样使用谷歌Chromium内核的搜狗浏览器受到漏洞影响，浏览器地址栏会显示苹果官网地址，但打开的实际上是钓鱼测试页面。

　　五、Opera浏览器，存在漏洞

　　Opera同样受到漏洞影响，需要等待产品升级解决。

　　六、IE浏览器，成功防御

　　令人吃惊的是，一向以速度慢、不安全而著称的IE，竟然是表现最好的之一，它能够直接提示Windows无法找到测试网址，请检查拼写是否正确。Punycode钓鱼攻击对IE用户完全没有影响。

　　综合以上测试结果，360安全浏览器和IE成功防住了Punycode钓鱼攻击测试，用户不必担心上网访问到以假乱真的钓鱼网址。但是，其他四款国内外比较流行的浏览器就纷纷中招了。其实还有些使用Chromium内核的国产浏览器也受到此漏洞影响，受到篇幅限制，在此就不完全展开了，读者们可以自行测试。

　　重要提示：在一些浏览器还没有修复漏洞的情况下，最好是通过收藏夹或手工输入网址上网，尽量避免通过超链接、短网址等方式访问与财产、隐私相关的重要网站。