大风起兮云飞扬

Unicode String 用来钓鱼还是有搞头的。

之前在nuke的blog上曾经写过俄文字符的 e 用来做url欺骗，不过nuke也只提出了一个猜想，因为这样的字符可能注册域名通不过。

详细可见：
http://www.nukeblog.cn/article/101.htm

今天看到老外也在blog上提到了这种思路，我想一种新的钓鱼方式可能会兴起。

我们知道比较老的钓鱼方式是注册一个类似的域名比如 http://www.1bm.com

来钓鱼，中间的1bm 是 数字 “1”，而不是字母 "i"

但是如果从欺骗性来说，一些非英文字母里的拉丁字符，可能会更具有视觉效果。

比如下面这个网站：

http://www.аmazon.com
这里不是字母“a”，而是一个Cyrillic small letter a
unicode码是： u+3004

看下他指向的link地址，居然是

http://www.xn--mazon-3ve.com
这种解码方式就是 punycode 编码

在RFC3492 中有定义。

punycode 是出于扩展域名中的字符而撰写的。

原来域名中只允许ascii码，经过punycode 编码后，可以使用很多的unicode字符了。

浏览器默认会进行解码。

下面这个工具可以在线解码

http://mct.verisign-grs.com/index.shtml

所以，我们只需要注册一个

http://www.xn--mazon-3ve.com
就能够使用

http://www.аmazon.com
进行钓鱼攻击了，类似的字符还有很多！