同样都是HTTPS网站,“李逵”还是“李鬼”如何鉴别? – 作者:trustasia

钓鱼网站的危害,相信大家应该都知道吧?

然而,道高一尺魔高一丈,

仅仅凭借HTTPS的小挂锁

已不能完全识别钓鱼网站了,

因为,如今钓鱼网站居然也有HTTPS了!

1593337625776283.png

 

事件回顾

Privnote 是来自乌拉圭的一个提供在线免费发送便签服务的网站,发送的便签在阅读后,将自动销毁。Privnote 采用全HTTPS加密浏览,确保信息安全。

最近,新出现了一个名为“Privnotes.com”的钓鱼网站伪装成“Privnote.com”欺骗了许多该服务的用户,窃取比特币。

伪造网站的名称和外观都和原版网站及其相似,只不过假的网站会在Google搜索中添加自己的广告,使其搜索结果超过了原版网站的搜索结果。


图片[2]-同样都是HTTPS网站,“李逵”还是“李鬼”如何鉴别? – 作者:trustasia-安全小百科

 

极其相似的网站名称和外观,两个网站都使用了HTTPS加密,你能分清哪个是真正的“Privnote”官方网站吗?

 

图片[3]-同样都是HTTPS网站,“李逵”还是“李鬼”如何鉴别? – 作者:trustasia-安全小百科

 

常在河边走,哪有不湿鞋

不断攀升的HTTPS李逵遇见李鬼事件

令人防不胜防

真假网站,常常叫人傻傻分不清楚!

 

虽然HTTPS的使用有助于保障互联网用户在浏览器和网站之间的数据安全,但越来越多的网络钓鱼网站转向HTTPS的主要原因是利用人们对安全小挂锁标志的信任。

反网络钓鱼工作组(APWG)的《2019年第四季度网络钓鱼活动趋势报告》的研究表明,网络钓鱼网站中有近四分之三使用SSL / TLS证书。该组织报告称,HTTPS网站上托管的网络钓鱼攻击数量在2019年第二季度为54%,在2019年第三季度为68%证书显示数据在传输中加密,这并不意味着该网站已经采取安全措施并且合法。

 

 

李逵VS李鬼~如何鉴别HTTPS恶意钓鱼网站?

网站光有HTTPS还不够噢,还要注意网站身份认证!以本次事件主角Privnote网站为例,从挂锁图标可以明显看出,尽管两个网站都提供了使用SSL /TLS的“安全连接”,它们的证书之间还是存在明显的区别:

1593338066161548.png

合法的PrivNote.com DigiCert证书

 

如下图,钓鱼网站Privnotes.com使用的是Let’s Encrypt提供的免费证书。

1593338160780465.png

钓鱼网站Privnotes.com  Let’s Encrypt免费证书 

 

通常,骗子们会选择标准型的DV SSL(域名型)证书,这种证书只需验证域名管理员权限,无需验证网站真shi身份,助长了黑客的乘虚而入。

5c2dbce761af3850.jpg

因此,建议大家在浏览网站时要注意查看SSL证书的详细信息,且在证书中显示组织单位名称和可信CA机构颁发的安全证书(如:DigiCert、GeoTrust、CFCA等)。 如果能查看到单位名称和可信CA等信息,则说明网站拥有者是一个真实存在的合法实体。如果缺乏以上信息,则要对网站继续保持谨慎态度。

 

商业网站应选择哪种类型证书?

近年来,由于Let’s Encrypt证书免费的性质和被多数网络浏览器识别的高几率,使得它成为设置钓鱼网站的骗子们的最佳选择。在2017年1月1日到3月31日期间,Netcraft就拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截,而不是拦截特定的子目录。在被完全拦截的网站中,61%使用了Let’s Encrypt颁发的证书。

众所周知,Let’s Encrypt 提供的是最低安全级别的免费DV(域名型 )SSL证书,且证书有效期仅为90天

今年3月,由于域名验证和证书签发软件中的一个错误,Let’s Encrypt吊销近300万张证书。

Let’s Encrypt已经向受影响的客户发邮件告知,以便其及时地更新。但由于事发突然,Let’s Encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,此举意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用,从而造成直接的经济损失。

免费SSL证书适用于个人用户体验和企业测试,虽然可以在无成本的情况下为客户提供基础安全的服务,但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美。并不适合商业用户。

图片[7]-同样都是HTTPS网站,“李逵”还是“李鬼”如何鉴别? – 作者:trustasia-安全小百科

 

CA在签发 OV 型和 EV 型证书时,会验证组织身份,经过严格的审核后才会颁发。所以 OV 型和 EV 型证书在实现HTTPS加密协议的同时可以标示网站身份,起到一定的反钓鱼功能,提高访客对网站的信心。

而DV型证书,仅通过系统验证域名控制权,不验证组织身份信息的真实性,申请机构是否经过合法注册则被完全忽视。它能起到基础的HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者组织身份的真实性验证。

所以,对于安全事件频发的免费DV SSL证书仅仅推荐个人用户体验和非商业网站测试使用,商用站点建议选择 OV 型或者更高安全级别的 EV 型证书。

 

来源:freebuf.com 2020-07-15 10:40:12 by: trustasia

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论