黑客利用“rn”拼写欺诈手段,在新型钓鱼攻击中仿冒微软与万豪
一场针对万豪国际(Marriott International)和微软(Microsoft)用户的精密 “视觉相似字符” 钓鱼攻击正在蔓延。攻击者注册了一批将字母 “m” 替换为 “rn”(r + n)组合的恶意域名,搭建出与官方网站几乎一致的伪造页面。
这种技术被称为拼写欺诈(typosquatting) 或视觉相似字符攻击(homoglyph attack),其核心是利用现代字体的显示特性 —— 在多数字体中,字母 “r” 和 “n” 紧邻组合(rn)的视觉效果与字母 “m”(m)几乎无法区分。
黑客正是借助这一视觉欺诈,绕过人类大脑的错误识别机制。当你快速扫过
rnarriottinternational.com 这类 URL 时,大脑常会 “自动修正” 视觉信息,误判其为官方域名 “Marriott”。已识别的近期攻击活动
万豪国际成为攻击目标
安全公司 Netcraft 近期监测到一批仿冒万豪集团的恶意域名集群,这些域名疑似被用于窃取会员账户凭证或宾客个人数据:
- 核心恶意域名:
rnarriottinternational.com - 衍生变体域名:
rnarriotthotels.com(针对特定酒店品牌的定向攻击)
微软用户遭遇精准打击
安全公司 Anagram 的首席执行官哈利・舒格曼(Harley Sugarman)指出,另一波同类攻击正瞄准微软用户。钓鱼邮件通过域名
rnicrosoft.com 发送虚假安全警报或账单通知,具备三大欺诈特征:- 完全模仿微软官方 Logo、行文语气与页面布局;
- 在移动设备上攻击风险极高 —— 小屏幕显示下,“rn” 与 “m” 的差异几乎无法察觉。
威胁指标(IOCs)
以下域名已被标记为恶意,安全团队应立即拦截,用户需警惕任何指向这些域名的链接:
| 钓鱼域名 | 仿冒服务 | 拼写欺诈手段 | 识别难度 |
|---|---|---|---|
| rnarriottinternational.com | 万豪国际(Marriott International) | “m” 替换为 “rn” | 极高(Critical) |
| rnarriotthotels.com | 万豪酒店(Marriott Hotels) | “m” 替换为 “rn” | 极高(Critical) |
| rnicrosoft.com | Microsoft 365 / 登录服务 | “m” 替换为 “rn” | 高(移动设备) |
| micros0ft.com | 微软(Microsoft) | “o” 替换为数字 “0” | 中(Medium) |
| microsoft-support.com | 微软支持(Microsoft Support) | 添加连字符 / 后缀 | 低(Low) |
安全防护建议
- 展开发件人地址:在移动邮件应用中,点击发件人名称查看完整邮箱地址,仔细甄别是否存在 “rn” 欺诈;
- 点击前悬浮验证:在电脑端,将鼠标悬浮于链接上方(不点击),查看浏览器底部显示的真实目标 URL;
- 手动输入官网:若收到酒店预订、账户重置等紧急邮件,切勿点击内嵌链接,直接打开浏览器手动输入
marriott.com或microsoft.com访问官方网站; - 启用密码管理器:密码管理器能识别虚假域名(如
rnicrosoft.com与真实microsoft.com不一致),不会自动填充账号密码,从源头规避信息泄露风险。
