小道消息:網絡開始出現一種新的釣魚網頁技術,從2018年年中開始在外網露出苗頭。主要利用自定義Web字體向用戶展現看起來正常文本、實際上源碼卻都是無規律亂碼的釣魚網頁,並以此躲避安全檢查。
這是在網絡釣魚工具包被發現的,采用一種新技術混淆偽造頁面源代碼。而源代碼中包含瞭特殊編碼的顯示文本,把網頁明文復制粘貼到文本中還會產生編碼文本。
此外,釣魚攻擊者隻使用兩種字體,“woff”和“woff2”;並通過base64編碼隱藏起來。這種釣魚登陸後利用自定義web字體文件,使瀏覽器呈現密文為明文。
其帶來一個大大坑就是,即使安全人員看到釣魚網頁源代碼時,發現隻是大量無意義亂碼 ,很難迅速搞懂網頁做什麼用的;當用戶用瀏覽器進入,看到的是一個正常毫無異樣卻虛假的登錄頁面。
雖然網上有很多網頁源代碼混淆技術,但這種使用網頁自定義字體技術還是獨一無二、首例的。
