專家也要小心,HTTPS網(wǎng)址的網(wǎng)站就一定安全嗎?
責(zé)編:admin |2014-10-07 16:02:03隨著越來越多網(wǎng)站使用 SSL以提升在 Google搜尋中的排名(請參考安全牛之前的報道”谷歌調(diào)整搜索排名算法,激勵網(wǎng)站采用HTTPS安全協(xié)議“),使用者將必須了解到 HTTPS 前綴不再是他們判斷網(wǎng)站是否安全的識別標(biāo)志。他們必須在輸入認(rèn)證數(shù)據(jù)和個人標(biāo)識信息(PII)前先檢查憑證。此外,也建議除了使用合法來源的授權(quán)應(yīng)用程序 外,不要使用移動設(shè)備進(jìn)行交易。
根據(jù)報導(dǎo),Google將會改善 HTTPS網(wǎng)站在他們搜索引擎的排名。這可能會鼓勵網(wǎng)站所有者從HTTP切換到 HTTPS。不過網(wǎng)絡(luò)犯罪分子也加入了HTTPS轉(zhuǎn)換的熱潮。比方說,我們最近發(fā)現(xiàn)一起案例,當(dāng)使用者搜尋安全版本的游戲網(wǎng)站時,會反而被導(dǎo)到網(wǎng)絡(luò)釣魚(Phishing)網(wǎng)站。
趨勢科技近日研究了使用HTTPS而且在2010年到2014年間被趨勢科技的網(wǎng)頁信譽(yù)評比技術(shù)所封鎖的釣魚網(wǎng)站。根據(jù)調(diào)查結(jié)果顯示,釣魚網(wǎng)站的數(shù)量在增加,預(yù)期它在2014年后半因為假期季節(jié)的到來會有倍數(shù)的成長。
這一高度成長的原因之一是對網(wǎng)絡(luò)犯罪分子來說,很容易就可以建立使用HTTPS的網(wǎng)站:他們可以入侵已經(jīng)使用HTTPS的網(wǎng)站或是利用使用HTTPS的合法代管網(wǎng)站或其他服務(wù)。所以網(wǎng)絡(luò)犯罪份子不需要去取得自己的SSL憑證,他們只要去濫用或入侵具備有效憑證的服務(wù)器。
這種利用HTTPS的手法也出現(xiàn)在行移動網(wǎng)絡(luò)釣魚(Phishing)。就在最近,趨勢科技發(fā)現(xiàn)一個Paypal釣魚網(wǎng)頁使用HTTPS和有效的憑證。看起來這詐騙網(wǎng)頁是放在一合法網(wǎng)站上,顯示該網(wǎng)站可能已經(jīng)淪陷。
要偵測一特定網(wǎng)站是否為釣魚網(wǎng)站,使用者需要檢查憑證的有效性和檢查一般名稱(CN),它通常會和域名相符。在屏幕擷圖中,mobile.paypal.com是一般名稱(CN)和組織是Paypal, Inc。釣魚網(wǎng)站的憑證則沒有這些特征。
通常,移動設(shè)備使用者在給出認(rèn)證信息前要先檢查網(wǎng)址列的「HTTPS」和前綴圖示。然而,在這最近的行動網(wǎng)絡(luò)釣魚攻擊中,檢查這些可能并 不足夠。一些移動瀏覽器并不一定可以簡易地秀出SSL信息。例如,Windows行動瀏覽器(IE)可以顯示鎖頭圖標(biāo),但用戶無法單擊以查看憑證的詳細(xì)信息。
我們建議使用者需要檢查(透過搜索引擎)它們是否真的來自同一公司網(wǎng)站的網(wǎng)址。例如,使用者在任何值得信任的搜索引擎中搜尋Paypal,如果使用者收到或存取的網(wǎng)址和經(jīng)由搜索引擎所出現(xiàn)的不同,那盡管它是「HTTPS」,也有「鎖頭」圖示,它還是很有可能是惡意網(wǎng)站。如果它是普遍的銀行或金融機(jī)構(gòu),合法網(wǎng)站將始終顯示為最上層結(jié)果。
下一步是要檢查憑證有效性。被入侵的HTTPS網(wǎng)站可能具備有效的憑證,但使用者仍然可以在給出認(rèn)證資料前先檢查憑證的一般名稱(CN)和組織信息。請注意,認(rèn)證機(jī)構(gòu)(CA)不會發(fā)證書給惡意網(wǎng)站。這些對一般個人計算機(jī)也同樣適用。
雖然有些網(wǎng)站在網(wǎng)址列會出現(xiàn)綠色“鎖頭”圖示以作為一種安全指標(biāo),使用者還是需要檢查一般名稱(CN)和組織。例如,使用者搜尋美國銀行的登錄頁面,點擊最上層結(jié)果。在登錄頁面中,他們可以檢查綠色圖示列和域名(本例中為bankofamerica.com)。
當(dāng)他們按下綠色圖示列時,將會彈出一個窗口。使用者接著可以檢查「頒發(fā)給」,這相當(dāng)于「一般名稱(CN)」。請注意,一般名稱和域名應(yīng)該相符。
隨著越來越多網(wǎng)站使用SSL以提升在Google搜尋中的排名,使用者將必須了解到HTTPS鎖頭不再是他們存取安全網(wǎng)站時的識別標(biāo)志。他們必須在 輸入認(rèn)證數(shù)據(jù)和個人標(biāo)識信息(PII)前先檢查憑證。此外,也建議除了使用合法來源的授權(quán)應(yīng)用程序外,不要使用行動設(shè)備進(jìn)行交易。
基于主動式云端截毒技術(shù)的反饋數(shù)據(jù),最常會去連上HTTPS釣魚網(wǎng)站的國家是美國和巴西。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧