“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。”
6月10号,美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。
几周前,Anti-Phishing Working Group发布了一份报告,称他们在2019年第一季度追踪的钓鱼网站中,58%使用HTTPS,甚至有些估计认为这个数字高达90%。
我们很难不将其归因于免费的SSL证书。提供免费证书是一件很好的事情,它的目的是帮助互联网服务不足的部分,我们对此表示赞赏,但正如FBI指出的,网络钓鱼的存在使得人们不得不改变以往看待安全的方式。
以“https”开头的网站应该为访问者提供隐私和安全。毕竟,HTTPS(超文本传输协议)中的“S”代表“Secure”。实际上,网络安全培训的重点是鼓励人们在这些安全网站的浏览器地址栏中寻找锁的标识, “https”的存在和锁图标理应表明web流量是加密的,并且访问者可以安全地共享数据。不幸的是,网络犯罪分子利用的就是公众对“https”和锁图标的信任。他们申请证书,创建经第三方安全认证的网站,精心设计网站,模仿值得信赖的公司或电子邮件联系人向潜在的受害者发送电子邮件,引诱用户到一个看起来安全的恶意网站来获取敏感的登录或其他信息。
坦率地说,这应该足以让我们重新评估我们都在寻找和使用的信任指标。我们需要更加关注服务器(和客户机)身份。企业和网站本身更有责任维护自己的身份。具有讽刺意味的是,由于相关行业论坛的不作为,一个完全无意的结果是,EV证书正成为成功地证明身份的仅有方法之一。
虽然EV证书并不完美,但它确实要求组织经过可信实体的全面审查。这确实意味着一些事情,没有教育公众将EV作为信任指标,我们错过了一个巨大的机会。
再一次,确保客户知道在浏览器的地址栏中查找EV 身份标识对于单个组织来说更加义不容辞。我们以前已经看到过使用插入符和静态头文件完成此操作,或者通过快速发送邮件到邮件列表也可以提供通知。
对于EV的最大的看法是“人们不知道要去寻找它。”并且它表现的好像是一个无法解决的问题。 它真的不是。 EV是证明身份并保护您自己公司免受网络钓鱼者欺骗的最佳方式。 这是一个非常宝贵的工具。
如果EV正在发挥作用,那么网络钓鱼的发生率将不会以目前的速度增长。 免费的SSL证书使这些网络钓鱼网站越来越令人信服,且几乎每月有数百万的钓鱼网站被创建。
拥有HTTPS和绿色挂锁已经不够了,你需要证明你的身份。虽然方法有限,但TrustAsia EV证书一直是最好的方式之一。
【来自SSL China】
来源:freebuf.com 2019-06-21 13:41:55 by: trustasia
请登录后发表评论
注册