小道消息： 網(wǎng)絡(luò)開始出現(xiàn)一種新的釣魚網(wǎng)頁技術(shù)，從2018年年中開始在外網(wǎng)露出苗頭。主要利用自定義Web字體向用戶展現(xiàn)看起來正常文本、實(shí)際上源碼卻都是無規(guī)律亂碼的釣魚網(wǎng)頁，并以此躲避安全檢查。

這是在網(wǎng)絡(luò)釣魚工具包被發(fā)現(xiàn)的，采用一種新技術(shù)混淆偽造頁面源代碼。而源代碼中包含了特殊編碼的顯示文本，把網(wǎng)頁明文復(fù)制粘貼到文本中還會產(chǎn)生編碼文本。

此外，釣魚攻擊者只使用兩種字體，“woff”和“woff2”;并通過base64編碼隱藏起來。這種釣魚登陸后利用自定義web字體文件，使瀏覽器呈現(xiàn)密文為明文。

其帶來一個大大坑就是，即使安全人員看到釣魚網(wǎng)頁源代碼時，發(fā)現(xiàn)只是大量無意義亂碼 ，很難迅速搞懂網(wǎng)頁做什么用的;當(dāng)用戶用瀏覽器進(jìn)入，看到的是一個正常毫無異樣卻虛假的登錄頁面。

雖然網(wǎng)上有很多網(wǎng)頁源代碼混淆技術(shù)，但這種使用網(wǎng)頁自定義字體技術(shù)還是獨(dú)一無二、首例的。

來源出處：盧松松博客