小道消息： 網絡開始出現(xiàn)一種新的釣魚網頁技術，從2018年年中開始在外網露出苗頭。主要利用自定義Web字體向用戶展現(xiàn)看起來正常文本、實際上源碼卻都是無規(guī)律亂碼的釣魚網頁，并以此躲避安全檢查。

這是在網絡釣魚工具包被發(fā)現(xiàn)的，采用一種新技術混淆偽造頁面源代碼。而源代碼中包含了特殊編碼的顯示文本，把網頁明文復制粘貼到文本中還會產生編碼文本。

此外，釣魚攻擊者只使用兩種字體，“woff”和“woff2”;并通過base64編碼隱藏起來。這種釣魚登陸后利用自定義web字體文件，使瀏覽器呈現(xiàn)密文為明文。

其帶來一個大大坑就是，即使安全人員看到釣魚網頁源代碼時，發(fā)現(xiàn)只是大量無意義亂碼 ，很難迅速搞懂網頁做什么用的;當用戶用瀏覽器進入，看到的是一個正常毫無異樣卻虛假的登錄頁面。

雖然網上有很多網頁源代碼混淆技術，但這種使用網頁自定義字體技術還是獨一無二、首例的。

來源出處：盧松松博客