币安钓鱼域名变体识别|同形异码与 DNS over HTTPS
深入解析币安钓鱼域名的同形异码变体(IDN、西里尔字母 а)、Punycode、DNS over HTTPS 检查方法与浏览器地址栏识别技巧,附完整对照表与常见问题。
钓鱼域名早已不是 binance123.com 这种简单仿冒,而是升级到肉眼几乎无法分辨的「同形异码攻击」——用西里尔字母、希腊字母、数学字母替换英文字母,配合合法 SSL 证书骗取信任。本文系统拆解 IDN 同形异码、Punycode 识别、DNS over HTTPS 校验、浏览器地址栏检查四个防线,教你在 10 秒内识破任何仿冒域名。
一、什么是同形异码攻击?
A:同形异码攻击(Homograph Attack)是指用 Unicode 中长得与拉丁字母相同的其他文字字符替换域名中的字母,例如西里尔字母的 "а"(U+0430)与拉丁字母 "a"(U+0061)视觉完全相同,但计算机识别为不同域名。攻击者注册这类域名后申请合法 SSL,浏览器地址栏依然显示锁标,普通用户无从察觉。
常见同形字符对照
| 拉丁字符 | 同形替换 | Unicode | 语系 |
|---|---|---|---|
| a | а | U+0430 | 西里尔 |
| c | с | U+0441 | 西里尔 |
| e | е | U+0435 | 西里尔 |
| i | і | U+0456 | 西里尔 |
| o | о | U+043E | 西里尔 |
| p | р | U+0440 | 西里尔 |
| x | х | U+0445 | 西里尔 |
| l | ⅼ | U+217C | 罗马数字 |
| m | m | U+FF4D | 全角 |
| n | ո | U+0578 | 亚美尼亚 |
以 binance 为例,攻击者可用西里尔的 а 替换 a,注册 binаnce.com;用 с 替换 c 得到 binanсe.com;用 е 替换 e 得到 binancе.com。这三个域名与真域名视觉完全一致,但都是不同的 DNS 记录。
二、如何用 Punycode 识破?
A:所有非拉丁字符域名在 DNS 层会被转码为以 xn-- 开头的 Punycode。合规的浏览器(Chrome、Firefox、Safari、Edge 最新版)在检测到全域混合脚本时,会自动把域名显示为 Punycode,例如 binаnce.com(含西里尔 а)会显示为 xn--binnce-h7c.com。
强制查看 Punycode
- Chrome:地址栏输入
chrome://flags/#enable-idn-in-omnibox,切换到 Disabled,重启浏览器; - Firefox:在
about:config中把network.IDN_show_punycode改为 true; - Safari:默认策略较严,多脚本混合时自动显示 Punycode,无需额外设置;
- Edge:与 Chrome 类似,通过 flags 设置。
设置完成后,任何含非拉丁字符的域名地址栏都会显示 xn-- 前缀,一眼可辨。可访问 币安官网 对比正确的 binance.com 显示效果。
手动转码校验
在 Terminal / 命令行运行 idn2 binаnce.com 或使用在线工具,会返回 Punycode 编码。你也可以复制地址栏可疑域名,粘贴到 Punycode 转换器,若返回 xn-- 开头即含非拉丁字符。
三、常见变体分类与对照表
A:钓鱼域名变体大致可分为「同形异码」「相邻按键」「多字符误插」「顶级域偷换」四类,每类都有典型手法。
变体分类
| 类型 | 示例 | 手法说明 |
|---|---|---|
| 同形异码 | binаnce.com | 西里尔 а 替换 |
| 相邻按键 | binamce.com | 键盘 n 与 m 相邻 |
| 相邻按键 | binacne.com | c 与 n 换位 |
| 多字符插入 | biinance.com | 多加一个 i |
| 多字符插入 | binannce.com | 多加一个 n |
| 顶级域偷换 | binance.co | 缺 m,看似合法 |
| 顶级域偷换 | binance.cm | 喀麦隆域名 |
| 子域名伪装 | binance.com.security-check.xyz | 主域名是最后一段 |
| 连字符插入 | bin-ance.com | 加连字符 |
| 数字替换 | b1nance.com | 1 替换 i |
其中子域名伪装最具迷惑性,用户看到 binance.com 出现在开头就放松警惕,殊不知真域名是最后一段 security-check.xyz。
快速识别口诀
- 只看最后一个
.之前的整段作为主域名; - 主域名必须只包含 a-z、0-9、连字符,出现任何非 ASCII 字符即高危;
- 顶级域必须是
.com(币安主站),其他如.co、.cm、.net、.io均需存疑; - 长度异常,超过 15 字符或包含双字母重复模式,警惕拼写变体。
四、DNS over HTTPS 校验方法
A:DNS over HTTPS(DoH)将 DNS 查询封装在 HTTPS 之内,避免中间人劫持导致的假解析。使用 DoH 后,即便你输入 binance.com,本地网络的 DNS 服务器也无法把你重定向到钓鱼 IP。
主流 DoH 服务
| 服务商 | DoH 地址 | 特点 |
|---|---|---|
| Cloudflare | https://cloudflare-dns.com/dns-query | 全球快 |
| https://dns.google/dns-query | 稳定性高 | |
| Quad9 | https://dns.quad9.net/dns-query | 恶意域名过滤 |
| AdGuard | https://dns.adguard.com/dns-query | 广告过滤 |
浏览器配置
- Chrome / Edge:设置 - 隐私 - 安全 - 使用安全 DNS - 选择服务商;
- Firefox:设置 - 常规 - 网络设置 - 启用 DNS over HTTPS;
- Safari:需通过描述文件配置,可在 Cloudflare 官网下载 1.1.1.1 描述文件。
DoH 校验实操
配置完成后,访问 https://1.1.1.1/help 应显示「Using DNS over HTTPS: Yes」,同时可在页面底部查看当前使用的解析器与 DoH 服务商。任何显示为 No 均需重新配置。
五、浏览器地址栏检查清单
A:即便有 DoH 和 Punycode 防护,人眼观察依然是最后一道防线。养成打开链接后先看地址栏再点任何按钮的习惯。
五点必看清单
- 锁标:地址栏左侧必须有锁标或「Secure」标识,无锁标即明文 HTTP,绝对不输入密码;
- 主域名:确认最后一段是
binance.com,且前一段是空或标准子域(www、accounts); - 证书颁发者:点击锁标查看证书,颁发者应为 DigiCert、Sectigo 等主流 CA,且 Common Name 包含 binance.com;
- 无非拉丁字符:主域名内不应出现任何斜体、加粗、异色字符,浏览器会用不同渲染提示可疑字符;
- 无重定向异常:初始 URL 与最终 URL 应一致,若被跳到陌生域名立即关闭。
⚠️ 一旦发现任一异常,立即关闭页面、清理浏览器缓存、并前往 反钓鱼真伪辨识 复核官方入口。想直接安装官方 App 可访问 币安官方App。
六、常见问题
我看不出西里尔字母怎么办?
A:不用凭肉眼,一律靠工具。在浏览器地址栏点击可疑域名,复制到 Punycode 转换器;或将浏览器设置为强制显示 Punycode,让 xn-- 帮你识别。同时启用 DoH,配合 Quad9 等带恶意域名过滤的服务,双重保险。
DoH 会影响访问速度吗?
A:初期首次查询会略慢 20-50 毫秒,之后本地缓存生效,与传统 DNS 无感差别。Cloudflare 1.1.1.1 平均延迟低于普通 ISP DNS,建议优先选择。
移动端如何配置 DoH?
A:iOS 14+ 支持描述文件配置 DoH,可在 Cloudflare、Google 官网下载;Android 9+ 在「设置 - 网络 - 私人 DNS」输入 1dot1dot1dot1.cloudflare-dns.com 即可。移动端也务必参考 App 下载官方指南 从正确渠道安装。
钓鱼网站有 SSL 锁标就是安全的吗?
A:不是。Let's Encrypt 等 CA 对同形异码域名会正常签发证书,仿冒站也能拿到锁标。真伪核心不在于是否加密,而在于「域名本身是否官方」。锁标只保证传输过程未被窃听,不保证对面是官方。
客户端 App 会遭遇同形异码攻击吗?
A:App 直连服务器 IP 不走 DNS 变体域名,同形异码主要针对浏览器访问。但若你在假客服诱导下把 App 内的「自定义 API 地址」改为仿冒域名,仍有风险。⚠️ 官方 App 从不要求你手动填写 API 域名。
家用路由器 DNS 需要改吗?
A:建议改为 Cloudflare(1.1.1.1)或 Quad9(9.9.9.9),并开启 DoH。运营商默认 DNS 可能被劫持插入广告或解析到中间人。改后重启路由器,用 nslookup binance.com 验证解析 IP 是否来自 Cloudflare / Akamai CDN。
综上,防钓鱼域名的核心逻辑是「让机器代你识别」——DoH 保证 DNS 结果真实,Punycode 曝光可疑字符,浏览器地址栏提供最后核查。三层组合足以应对 99% 的域名钓鱼。想直达官方入口可访问 币安官网,如需下载 App 请前往 官方入口指南。
文档发布于 2026-07-01,下次复测计划 2026-10-01