微软用8年没堵住的漏洞：一个字母就能骗过你的浏览器

2017年，安全研究员Xudong Zheng用一个apple.com的仿冒域名让全网哗然——把拉丁字母"a"换成西里尔字母"а"，浏览器地址栏显示的和真站一模一样。8年过去了，这种攻击不仅没消失，反而进化出了更隐蔽的形态。

Seqrite实验室最新追踪的数据显示，同形异义词攻击（homoglyph attack）正在从"技术炫技"变成"量产工具"。攻击者不再满足于单字符替换，而是玩起了多脚本混合、动态生成、证书加持的组合拳。

一个"o"的七十二变

攻击的核心原理简单到近乎荒谬：Unicode字符集里，拉丁字母"o"、希腊字母ο（omicron）、西里尔字母о看起来几乎相同，但计算机识别为完全不同的编码。

浏览器为了用户体验，会把Punycode编码的域名（比如xn--pple-43d.com）自动渲染成肉眼友好的Unicode形式。这个设计本意是降低非英语用户的使用门槛，却成了钓鱼者的完美伪装。

Seqrite团队发现，现在的攻击者会刻意选择支持国际化域名（IDN）的注册商批量购买域名，再申请真实的TLS证书。当用户看到https前缀和锁形图标时，警惕性已经降了一半。

更棘手的是多脚本混合技术。攻击者不再整站用西里尔字母仿冒，而是只在关键位置插入一两个异体字符——比如把"google"里的第二个"o"换成希腊ο，剩下的保持原样。这种"局部整容"比全站仿冒更难被自动化工具识别。

从钓鱼邮件到供应链投毒

攻击场景也在快速扩展。早期的同形异义词攻击主要集中在钓鱼链接，现在则渗透到商业邮件欺诈（BEC）、软件供应链污染等更隐蔽的环节。

金融行业是重灾区。Seqrite记录的案例显示，攻击者用拉丁-西里尔混合字符仿冒支付门户，诱导用户输入银行卡信息。由于域名是全新注册且持有有效证书，传统基于信誉评分的安全工具往往放行。

SaaS平台的登录页克隆同样猖獗。攻击者复制Office 365、Salesforce等主流服务的界面，配合仿冒域名和真实证书，连经验丰富的IT人员都可能中招。

更隐蔽的是软件分发渠道的污染。攻击者搭建仿冒的开发者工具下载站，推送携带后门的安装包。由于域名看起来"干净"，部分沙箱环境甚至不会触发深度扫描。

邮件客户端的显示名欺骗则是另一条路径。攻击者注册与目标高管邮箱高度相似的地址，配合伪造的显示名称，向财务部门发起虚假付款请求。这种攻击不依赖链接点击，纯靠社会工程学。

为什么技术方案总在"打地鼠"

浏览器厂商并非没有应对。Chrome、Firefox等都引入了Punycode显示机制——当检测到域名包含混合脚本时，强制显示原始的xn--编码形式。但这个策略很快遭遇反制。

攻击者开始采用"同脚本内的视觉混淆"，比如用拉丁字母里的"rn"组合冒充"m"，或者用数字"0"替换字母"O"。这些字符属于同一脚本，不会触发混合脚本警报，肉眼却难以分辨。

证书颁发机构的审核流程也存在缝隙。域名验证（DV）证书只确认申请人对域名的控制权，不审查域名本身是否涉及品牌仿冒。攻击者拿到证书后，钓鱼站点的"可信度"又上了一个台阶。

企业安全团队的困境在于检测滞后。基于威胁情报的防御依赖已知的恶意域名库，而同形异义词攻击的域名往往是"一次性"使用——注册、攻击、废弃，整个生命周期可能短至数小时。

Seqrite的研究人员指出，这类攻击的低成本和高收益比正在吸引更多参与者。注册一个国际化域名只需几美元，配合自动化工具批量生成变体，攻击者可以快速覆盖大量潜在目标。

部分企业尝试在内部DNS层面拦截可疑的Punycode域名，但误报率是个难题。全球化企业的员工确实需要访问合法的国际化域名，一刀切的阻断会影响正常业务。

终端用户教育的效果同样有限。要求普通员工在点击链接前逐字符核对域名，既不现实也不可持续。安全团队更期待浏览器和操作系统层面能提供更强的视觉区分机制——比如在地址栏对混合脚本域名使用醒目的颜色标记，而非依赖用户主动识别。

一个值得关注的细节是：2023年，某主流浏览器曾测试过"高亮显示域名中的异常字符"功能，但因"影响非英语用户体验"被搁置。技术可行性与全球化包容之间的张力，或许正是这类攻击长期存在的深层原因。

当你下次在地址栏看到一个熟悉的品牌名时，会下意识检查其中某个字母的字体是否略微偏瘦吗？