FBI警告說,網絡釣魚網站可以利用HTTPS協議
週一,互聯網犯罪和投訴中心(IC3)發出警告 , 該警告應該讓您更加警惕並幫助您避免成為網絡釣魚攻擊的受害者。它表示您是否要信任特定頁面的決定不應再基於地址欄中的綠色掛鎖圖標。
IC3是聯邦調查局的一部分,人們傾向於傾聽這類組織傾向於說的話。我們應該指出IC3在警告中寫的所有內容都是完全正確的。不過,警報可能應該早一點出現。
PhishLabs是一家專門分析網絡釣魚趨勢和趨勢的公司的專家,他們一直在追踪攜帶綠色掛鎖的騙局頁面的數量。去年年底,他們注意到所有網絡釣魚頁面中有近一半是全部服務的。 - 重要的符號。這種第一種假登錄形式出現在2015年,這表明綠色鎖作為安全指標的可靠性在很久以前就已經減弱。
問題
多年來,人們被教導綠色掛鎖是可靠頁面的象徵。實際上,這不是(也永遠不會)這種情況。鎖實際上表示您正在查看的頁面是通過HTTPS連接提供的 。 HTTPS代表安全超文本傳輸協議,它與常規HTTP協議的區別在於傳遞的信息是加密的。
HTTPS是一種通信協議,雖然它可以保證您的數據得到更好的保護,但它無法做任何事情來確保您的信息不會在錯誤的地方結束。誤解的原因是,要通過HTTPS為您的網站提供服務,您必須擁有SSL證書。在過去,設置SSL證書需要花費大量的時間,精力和金錢,對於騙子來說,這在經濟上是不可行的。只有合法的組織才會在他們的網站上安裝SSL證書,希望獲得人們的信任,當然還有保護他們的數據。不幸的是,對於一些希望保護其網站但卻沒有資源的小型企業而言,成本太高了。很快,以未加密的格式發送和接收信息(包括登錄憑證和信用卡詳細信息)的問題變得非常明顯。
這些問題引發了Let's Encrypt--第一個免費頒發SSL證書的非營利性證書頒發機構(CA)。讓加密不僅消除了對大量金融投資的需求,而且還簡化了安裝和續訂流程,這意味著每個人都有機會保護他們的網站。
不幸的是,網絡釣魚者很快就會利用免費證書. 犯罪分子意識到讓他們的騙局頁面看起來合法,不需要任何經濟投資,當然,他們不需要第二次邀請。
解決方案
鑑於所有這些信息,許多人可能會想要消除通過HTTPS提供的網絡釣魚頁面問題很容易。他們可能會爭辯說我們只需要刪除提供免費SSL證書的CA並將HTTPS變成騙子無法承受的奢侈品。有一個很好的理由說明這不是解決方案。
免費SSL證書在當今時代至關重要。正如安全研究員斯科特·赫爾梅(Scott Helme)所知道的那樣 ,他們對安全服務的內容的百分比產生了深遠的影響,並且他們在使互聯網成為一個更安全的地方方面發揮了重要作用。
瀏覽器供應商正在努力鼓勵更多的網站運營商通過HTTPS提供內容,這就是為什麼討論得很多的綠色掛鎖圖標可能正在逐漸消失。安全頁面將顯示較小或沒有可視指示符,並且通過HTTP提供的網站將標記為“不安全”。這也有助於消除綠色鎖是可信頁面的指示器的概念。
瀏覽器開發人員正確地意識到這是我們應該關注的內容。當他們登陸頁面時,人們不應將HTTPS視為安全功能。他們必須開始接受它作為常態。至於避免網絡釣魚攻擊,您需要依賴其他技術,例如在輸入任何登錄憑據之前仔細檢查URL,以及通過電子郵件或其他通信渠道收到的鏈接略微點擊。
