小道消息：网络开始出现一种新的钓鱼网页技术，从2018年年中开始在外网露出苗头。主要利用自定义Web字体向用户展现看起来正常文本、实际上源码却都是无规律乱码的钓鱼网页，并以此躲避安全检查。

这是在网络钓鱼工具包被发现的，采用一种新技术混淆伪造页面源代码。而源代码中包含了特殊编码的显示文本，把网页明文复制粘贴到文本中还会产生编码文本。

此外，钓鱼攻击者只使用两种字体，“woff”和“woff2”；并通过base64编码隐藏起来。这种钓鱼登陆后利用自定义web字体文件，使浏览器呈现密文为明文。

其带来一个大大坑就是，即使安全人员看到钓鱼网页源代码时，发现只是大量无意义乱码 ，很难迅速搞懂网页做什么用的;当用户用浏览器进入，看到的是一个正常毫无异样却虚假的登录页面。

虽然网上有很多网页源代码混淆技术，但这种使用网页自定义字体技术还是独一无二、首例的。

相关阅读：

网友爆料3000万条陌陌数据暗网泄露被出售

2018年钓鱼网站数量增加297%

如何判断一个网站是不是骗人的?

来源：卢松松博客，（QQ/微信：13340454），也欢迎您在线投稿

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容， 请发送邮件至 [email protected] 举报，一经查实，本站将立刻删除。