网络安全正面临一个潜在的新威胁：在网络钓鱼攻击中使用同形异义词。

这篇调查文章探讨了同形异义现象如何在各种类型的网络钓鱼攻击中使用、其背后的技术。

对这种恶意行为的研究以及高级语言模型 (LLM) 如何帮助加速同形异形现象的研究。

什么是同形异义？

同形异义是指视觉上与合法域名相同或非常相似的网络域名，但使用不同字母表的字符（例如西里尔字母或希腊字母）来欺骗用户。

例如，让我们考虑域名“redhotcyber.com”（一个随机的😊）。

可以使用西里尔字母“Ь”代替拉丁语“b”将其转换为“redhotcyЬer.com”，或者使用西里尔字母“е”代替拉丁语“e”转换为“redhotcyber.com”。

这些微小的变化很难用肉眼察觉，但可能会导致用户访问欺诈网站。

如何在网络钓鱼攻击中使用同形异义

使用同形异义的网络钓鱼攻击利用了用户对知名网站的信任。

网络犯罪分子注册的同形域与金融机构、流行在线服务或其他受信任实体的域类似。

例如，用户可能会收到一封看似来自“redhotcyber.com”的电子邮件，但其中包含的链接可能会转到“redhotсуber.com”（西里尔文中的“су”而不是“cy”）。

然后，这些域用于创建合法网站的精确副本。

创建同形网站后，攻击者就会发送包含这些网站链接的网络钓鱼电子邮件。

用户认为他们正在访问真实的网站，输入他们的登录凭据、个人信息或财务数据，然后这些数据就会被网络犯罪分子窃取。

同应词技术与研究

创建同形域需要深入了解不同字母表中可用的字符以及如何使用这些字符来创建在视觉上与合法域相同的域。

例如：

• redhotсуber.com（带有西里尔字母“су”）

• redhotcyЬer.com（带有西里尔字母“Ь”）

• redhotcyber.com（带有西里尔字母“е”）

• redhotcyber.соm（带有西里尔字母“о”）

• redhotсyber.com（带有西里尔字母“с”）

该领域的研究重点是识别所有可用于创建同形异义的字符并开发检测它们的工具。

网络安全专家正在探索使用字符串分析和机器学习技术来自动进行同应域检测的方法。

目标是开发能够自动识别并阻止这些域的系统，防止它们被用于恶意目的。

高级语言模型加速了同形异义研究

GPT-4 等高级语言模型 (LLM) 的出现加速了同形异义的研究和识别。

这些模型可以在很短的时间内分析大量数据，识别可能逃过人眼的模式和异常情况。

LLM 可用于生成和分析数千个可能的同形域，例如“redhotcyЬer.com”或“redhotcyber.com”（带有西里尔字母“о”）。

这有助于研究人员更好地了解网络犯罪分子使用的技术并制定有效的对策。

此外，它们还可用于改进检测算法，使其更加准确且不易出现误报。

同形异义代表了网络安全领域日益增长的威胁，它利用不同字母表中的字符之间的视觉相似性来欺骗用户。

应对这一威胁需要结合先进的研究、新检测工具的开发以及先进语言模型等尖端技术的使用。

只有通过集成协作的方法，才能有效保护用户免受基于同形异义的网络钓鱼攻击。