网络安全研究人员披露了一起面向万豪国际集团与微软用户的钓鱼活动。攻击者通过注册“同形异义字(homoglyph)域名”,搭建与官方网站高度相似的仿冒页面,以诱导受害者输入账号密码或提交个人信息。
该类手法也常被归类为域名抢注/拼写变体攻击。其核心在于利用字体呈现差异:在不少字体里,“rn”并排显示时与“m”非常接近,肉眼快速扫过时很难分辨。例如当用户看到 rnarriottinternational.com 时,大脑可能会自动将其误读为 “marriottinternational.com”。
安全公司 Netcraft 发现一批与万豪品牌相关的可疑域名,推测用于窃取会员登录凭证或旅客个人资料。
重点恶意域名:rnarriottinternational.com
其他变体:如 rnarriotthotels.com 等,可能按不同酒店品牌定向投放
安全公司 Anagram 的 CEO Harley Sugarman 指出,攻击者也在针对微软客户展开类似行动。钓鱼邮件使用 rnicrosoft.com 等域名发送伪造的安全告警或账单/发票通知。
邮件在视觉上模仿微软的标识、语气与排版
在移动端风险更高:屏幕更小,“rn”和“m”的差异更不明显
| 恶意域名 | 仿冒对象 | 伪装方式 | 识别难度 |
|---|---|---|---|
| rnarriottinternational.com | 万豪国际集团 | m → rn | 严重 |
| rnarriotthotels.com | 万豪酒店 | m → rn | 严重 |
| rnicrosoft.com | Microsoft 365/登录 | m → rn | 高(移动端更易误判) |
| micros0ft.com | 微软 | o → 0 | 中等 |
| microsoft-support.com | 微软支持 | 连字符/后缀变体 | 低 |
查看完整发件人地址:移动端邮件里点击发件人名称展开邮箱,重点检查是否存在“rn”伪装
悬停核对链接:电脑端将鼠标停留在链接上(不要点击),确认真实跳转地址
改用手动访问:遇到“订单异常/密码重置”等紧急邮件,不点链接,直接在浏览器手动输入 marriott.com 或 microsoft.com
使用密码管理器:密码管理器会按域名匹配填充账号,通常不会在 rnicrosoft.com 等伪站自动填入凭证
参考来源:
Hackers Use ‘rn’ Typo Trick to Impersonate Marriott in New Phishing Attack
网站资讯
渠道合作
解决方案
更多服务
