电诈域名黑产揭秘之看我如何注册了baîdu.com

本文讲述如何注册一个高度相似钓鱼域名

首先，祝大家愚人节快乐！

但愚人节不是诈骗节，本文将给大家科普一种相似域名注册的黑产手法，同时也为大家敲响警钟，一定要时刻擦亮眼睛！http://baidu.com和 baîhttp://du.com

也考考大家的眼力，安能辨我是雌雄？

阅读本文所涉及的主要知识点：

扬抑符例如wîkipedia.org不是wikipedia.org，因为第一个i上的点已被扬抑符的i所取代。 在大多数顶级域名注册管理机构中，wîkipedia.tld和wikipedia.tld是两个不同的名称，可能由不同的注册人持有。 一个例外是.ca ，其中保留域的纯ASCII版本可以防止另一个注册者声明同名的重音版本。

.CA的中央注册局允许IDN中有以下附加字符：é、ë、ê、è、â、à、æ、ô、œ、ù、û、ü、ç、î、ï、和ÿ。

当一个.CA IDN被首次注册时，该IDN包括ASCII域名在内的所有变体均会为注册人保留以便用于将来可能的注册的使用。例如，如果注册了çïrâ.ca，则只有相同的注册人可以注册cirâ.ca或http://cira.ca。集合中的每一个域名均被视为独立的注册域名，新的域名注册将收取相同的费用。唯一的不同是在更改注册人的Whois联系人或转移域名时，集合中的所有域名必须设置相同的注册人或一起进行转移。

什么是IDN（国际化域名）变体？

国际化域名（IDN）是域名的一种变体形式。

最常见的例子注册终于域名。中文有两种书写形式：简体中文和繁体中文。某人可能已经注册了一个域名的简体中文版本，那别人就无法注册该域名的繁体中文版本。遗憾的是，出于.COM、.NET、.CC以及.TV的中央注册局——Verisign的规定，我们无法提前核对某个域名是否存在其他变体书写形式。我们只能先尝试注册域名，如果存在变体，我们会收到错误提示（不过如果我们近期收到过相同域名的错误提示，则您可在搜索结果中就看到变体错误提示）。之后我们的系统会针对您无法注册的域名，自动退还账户信用点。

下面开始正式进入注册：我们的目标是baîhttp://du.com，大家注意看i这个字母（根据Unicode标准，î字符的名称是带有抑扬符的字母i变体）先在万网、新网进行注册，注册失败。万网返回超时：

新网返回：域名存在特殊字符，请重新输入。

通过搜索相关信息，找到了可以注册的平台。http://www.****http://dot.com

注意，可以查询到，并不代表可以注册成功。将此域名添加到购物车，进行结算。支持支付宝或信用卡方式支付。如果注册成功，会在我的域名面板里面显示。

我们点击DNS设置，进行简单的域名跳转。

访问http://baidu.com将跳转到百度页面，界面的标题为 IDN Test。

⚠️：这里的URL地址并不是百度的哦。

如果是银行的呢？金融的呢？

如果在页面登陆处外挂js窃取账号密码呢？这里只是做了一个演示，当然，你也可以把ip解析到你的主机上。在主机里面部署相关的钓鱼代码。进行钓鱼、诈骗。

诈骗案例：生成高度相似域名进行诈骗，这种手法已经屡见不鲜了。

PS：还可以生成XSS专用的短域名哦~

防御方法：

Firefox:在firefox位置栏中，输入about:config搜索punycode将值从false更改为true。

重新打开http://baidu.com如果看到xn-打头的域名，说明修改成功。

Chrome:更新浏览器版本或者下载相关的扩展工具。

小彩蛋：就算你设置了上面那些，我也一样可以绕过哦~