FBI警告说,网络钓鱼网站可以利用HTTPS协议
周一,互联网犯罪和投诉中心(IC3)发出警告 , 该警告应该让您更加警惕并帮助您避免成为网络钓鱼攻击的受害者。它表示您是否要信任特定页面的决定不应再基于地址栏中的绿色挂锁图标。
IC3是联邦调查局的一部分,人们倾向于倾听这类组织倾向于说的话。我们应该指出IC3在警告中写的所有内容都是完全正确的。不过,警报可能应该早一点出现。
PhishLabs是一家专门分析网络钓鱼趋势和趋势的公司的专家,他们一直在追踪携带绿色挂锁的骗局页面的数量。去年年底,他们注意到所有网络钓鱼页面中有近一半是全部服务的。 - 重要的符号。这种第一种假登录形式出现在2015年,这表明绿色锁作为安全指标的可靠性在很久以前就已经减弱。
问题
多年来,人们被教导绿色挂锁是可靠页面的象征。实际上,这不是(也永远不会)这种情况。锁实际上表示您正在查看的页面是通过HTTPS连接提供的 。 HTTPS代表安全超文本传输协议,它与常规HTTP协议的区别在于传递的信息是加密的。
HTTPS是一种通信协议,虽然它可以保证您的数据得到更好的保护,但它无法做任何事情来确保您的信息不会在错误的地方结束。误解的原因是,要通过HTTPS为您的网站提供服务,您必须拥有SSL证书。在过去,设置SSL证书需要花费大量的时间,精力和金钱,对于骗子来说,这在经济上是不可行的。只有合法的组织才会在他们的网站上安装SSL证书,希望获得人们的信任,当然还有保护他们的数据。不幸的是,对于一些希望保护其网站但却没有资源的小型企业而言,成本太高了。很快,以未加密的格式发送和接收信息(包括登录凭证和信用卡详细信息)的问题变得非常明显。
这些问题引发了Let's Encrypt--第一个免费颁发SSL证书的非营利性证书颁发机构(CA)。让加密不仅消除了对大量金融投资的需求,而且还简化了安装和续订流程,这意味着每个人都有机会保护他们的网站。
不幸的是,网络钓鱼者很快就会利用免费证书. 犯罪分子意识到让他们的骗局页面看起来合法,不需要任何经济投资,当然,他们不需要第二次邀请。
解决方案
鉴于所有这些信息,许多人可能会想要消除通过HTTPS提供的网络钓鱼页面问题很容易。他们可能会争辩说我们只需要删除提供免费SSL证书的CA并将HTTPS变成骗子无法承受的奢侈品。有一个很好的理由说明这不是解决方案。
免费SSL证书在当今时代至关重要。正如安全研究员斯科特·赫尔梅(Scott Helme)所知道的那样 ,他们对安全服务的内容的百分比产生了深远的影响,并且他们在使互联网成为一个更安全的地方方面发挥了重要作用。
浏览器供应商正在努力鼓励更多的网站运营商通过HTTPS提供内容,这就是为什么讨论得很多的绿色挂锁图标可能正在逐渐消失。安全页面将显示较小或没有可视指示符,并且通过HTTP提供的网站将标记为“不安全”。这也有助于消除绿色锁是可信页面的指示器的概念。
浏览器开发人员正确地意识到这是我们应该关注的内容。当他们登陆页面时,人们不应将HTTPS视为安全功能。他们必须开始接受它作为常态。至于避免网络钓鱼攻击,您需要依赖其他技术,例如在输入任何登录凭据之前仔细检查URL,以及通过电子邮件或其他通信渠道收到的链接略微点击。
