‘rn’被黑客替换为‘m’伪造Microsoft(.)com以窃取用户登录数据

“黑客想出新点子在线窃取用户的机密登录数据。”

目前，一种巧妙的网络钓鱼企图正在通过使用微小的排印技术来绕过用户警惕，诱骗受害者泄露关键的登录信息。攻击者使用域名“rnmicrosoft.com”冒充科技巨头。

欺诈者通过将字母“m”替换为“r”和“n”的组合，构建了一个乍看之下与真实域名几乎完全相同的视觉替身。

这种方法被称为域名抢注（typosquatting），主要依赖于现代网络浏览器和电子邮件应用程序中字体的渲染方式。当“r”和“n”紧挨着放置时，它们之间的字距调整（kerning）常常类似于字母“m”的结构，欺骗大脑自动纠正这个错误。

Anagram公司的首席执行官Harley Sugarman最近提请注意这一特定攻击向量，指出这些电子邮件通常模仿官方的Microsoft徽标、布局和真实信函的语气。

利用视觉欺骗窃取登录凭证

该攻击向量的微妙之处是其成功的关键。细心的观察者或许能在高分辨率的桌面显示器上发现差异，但大脑倾向于预测文本的特性常常掩盖了这种异常。

在移动设备上，由于屏幕空间有限，且地址栏经常截断完整的URL，威胁要严重得多。攻击者创建这些看似相同的网站，旨在实现凭证钓鱼、供应商发票诈骗和内部HR冒充活动。一旦用户相信电子邮件来自可靠来源，他们就更有可能点击危险链接或下载带有恶意软件的附件。

攻击者采用了多种变体，包括“rn”替换法。其他流行的策略包括用数字“0”替换字母“o”，或在合法的品牌名称中添加连字符以使其感觉更真实。

防御这类同形异义词（homoglyph）和域名抢注攻击，需要改变用户行为，而不仅仅是依赖自动过滤。安全专家建议用户在回复任何未经请求的电子邮件之前，展开查看发件人地址。在移动设备上长按链接，或在桌面上将鼠标悬停在超链接上以查看真实的目标URL，可以在连接建立之前发现骗局。

此外，更仔细地检查电子邮件标头，特别是“回复地址”字段，可以显示出骗子是否正在将回复发送到一个不受控制的外部邮箱。

对于涉及意外密码重置请求的情况，最安全的做法是完全忽略电子邮件中的链接，并打开一个新的浏览器标签页直接访问合法的服务。建议组织内部练习特定的识别技巧，以防止团队自动点击看起来熟悉的通知。

延伸阅读： 屏幕共享木马泄露了WhatsApp、Telegram和Signal上的私人聊天记录