目录
坏⼈真的善于借势搞事，尤其是借官⽅的势。能仿冒就尽量仿冒得很像很像，如上⾯提过的假客服。还有如 2022.4 出头，Trezor 这款知名的硬件钱包的许多⽤户就收到来⾃ trezor.us 的钓⻥邮件，实际上 trezor.us 并不是 Trezor 官⽅ 

域名。Trezor 官⽅域名只是 trezor.io。仅仅域名后缀不⼀样。另外钓⻥邮件⾥传播了如下域名：suite.trẹzor.com

这个域名是有“亮点”的，仔细看那个 ẹ 并不是英⽂字⺟ e。⾮常的迷惑性，实际上这是 Punycode，标准说明是这样的：

A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA)

也就是国际化域名编码，可以表示 Unicode 码和 ASCII 码的有限字符集。

如果把 trẹzor 解开后的样⼦是这样：xn--trzor-o51b，这才是真身！

Punycode 这种钓⻥⽅式，⼏年前就有真实利⽤了，⽐如 2018 年时，币安的⼀些⽤户就中招过。

这种域名看去很像的钓⻥就可以让许多⼈上当，更别提更⾼级的攻击⽅式，⽐如⼀些官⽅邮箱被控制，还有⼀种⽤户邮箱 SPF 配置问题导致的邮件伪造攻击。在⽤户眼⾥看到的邮件来源就是⼀模⼀样的官⽅特征。

如果是内部⼈作恶，那⽤户就⾃求多福了。项⽬⽅内部的安全⻛控⼀定要特别重视⼈员安全，这永远是最值得花成本、花精⼒去建设的。⼈是最⼤的那只特洛伊⽊⻢，但却最容易被忽视。有的⼈安全意识实在太差，在安全上⼜不思进取。

这种⼈，谁招谁倒霉。

返回目录     下一篇

#区块链个人安全黑手册 #比特币 #区块链安全