诈骗犯们似乎已经开始借用消费者们对HTTPS的安全信任,在欺诈网址上使用该协议来赢得消费者的信任,一次又一次的对消费者实施网络钓鱼攻击。
思科Talos团队的研究人员Anna Shirokova和Ivan Nikolaev写道:
事实上在过去的一段时间里,安全界一直在教育用户通信安全的重要性。用户不断的被告知使用HTTPS可以确保链接的安全性。
他们说,用户不断提高的安全意识似乎已经形成了一个“奇怪的副作用”,消费者开始信任任何使用HTTPS的安全信息,而这些信任却越来越多地被骗子滥用,特别是通过网络钓鱼攻击。
他们这样写道:“在我们的分析中,我们已经观察到很多用于网络钓鱼的域名通过诈骗者提供的假技术支持,不断的向客户宣传质量可疑的产品。”
攻击者正在冒充诸如Apple.com,Facebook.com,Microsoft.com和PayPal.com等知名域名,并且将他们用作网络钓鱼域名的虚假网站,如apple.com-133[.]com and facebook.com-secured[.]com,具有合法证书。
这意味着用户访问域名并可以查看该URL的绿色的安全锁,不过很少人会检查实际的证书。
网络钓鱼邮件通常链接到欺骗性网站,当他们在移动浏览器或狭窄的浏览器窗口中查看时,目标所看到的唯一的URL和欺诈域的前半部分(如Microsoft.com-pl-lot1[.]oficjalne-prezenty-gadzet[.]top。研究人员说,攻击者正在利用证书颁发机构,例如免费证书,审核并不严格。
Aas表示,证书颁发机构不应主观地禁止域名获取证书,因为这将导致基本上都是对HTTPS来进行审查,因为HTTPS目前已经变得更加强制。网络钓鱼网站滥用SSL和TLS证书并不是什么新鲜事。上个月,SSL商店的一份报告说,去年,在域名或证书身份中包含“PayPal”字样的网站发布了15,270张免费SSL证书。它声称有97%是发给网络钓鱼网站的。
问题的症结在于这个绿色的锁,人们并不知道这是什么意思,只是简单的理解为是安全的。但事实上这意味着这个链接是加密的,而不是说网站的内容是安全的。
而根据Aas的说法,现在最好的做法其实是依靠Google Safe Browsing和Microsoft Smartscreen这样的框架,因为他们有能力阻止并报告给用户当前网站是不安全的。
本文翻译自:threatpost
GDCA是一家提供信息安全证书的运营企业,从事信息安全证书数十载,在信息安全方面拥有雄厚的实力。GDCA已通过WEBTRUST国际认证,具备了国际化的电子认证服务能力。其中,GDCA的 产品之一SSL证书是一种服务器端的数字证书,它能确保用户在使用SSL协议进行数据交换时验证和确保数据安全。GDCA SSL证书使用的加密长度是128/256位。据目前IT技术,40位强度的证书暴力破解耗费4小时,而对于128位证书破解需要一万亿年以上。目前,GDCA SSL证书是国内领先的安全证书。日后,GDCA将会坚持不断深入研发,为各大网络商业平台提供更安全的信息安全证书,为网络安全虚拟世界贡献一份微弱的力量。
