Bleeping Computer網站日前披露,一個新的網絡犯罪活動将釣魚網站隐藏在谷歌搜尋結果中,以竊取亞馬遜網絡服務(AWS)使用者的賬戶密碼。
據悉,當使用者搜尋“aws”時,不良廣告在搜尋結果中排名第二,僅次于亞馬遜自身推廣搜尋結果。經過研究分析,安全人員發現攻擊者先将廣告直接連結到網絡釣魚頁面,後期陸續增加了重定向步驟,以期逃避谷歌廣告欺詐檢測系統的監管,一旦使用者輸入電子郵件位址和密碼,賬戶資訊就會被盜。
網絡釣魚“釣”走491萬美元
在衆多網絡攻擊中,網絡釣魚可以說是攻擊者最喜歡使用的攻擊手段之一。據《2022年資料洩露成本報告》顯示,網絡釣魚已成為資料洩露的第二大方式,占比達16%,給受訪組織造成高達491萬美元的洩露成本。
從目前情況來看,搜尋引擎在很大程度上助長了釣魚網站的橫行,當使用者已經習慣從搜尋引擎進入網站,甚至在通路銀行、訂票、購物等網站也通過搜尋引擎登陸時,就給不法分子提供了可趁之機。
此外,一些黑客也通過這種手段誘騙企業員工點選釣魚網站,進而黑入企業内部系統,竊取企業資料,或以此勒索企業,或将這些資料進行售賣獲利。
部署SSL證書,狙擊假冒網站
随着網絡釣魚變得愈加複雜和精明,企業和各個平台也更應該注重安全防護,及時安裝SSL證書,以保護使用者資訊安全、防止使用者誤進釣魚假冒網站,為使用者提供一個安全可信的通路和交易環境。
部署SSL證書尤其是企業用的OV和EV型證書後,可以為網站進行身份認證,同時確定企業官方網站與使用者之間發生的所有通信都是加密的,防止使用者誤進釣魚網站,防止第三方竊取、篡改、流量劫持等行為,保證使用者資料安全。
同時,部署SSL證書後,網址欄會顯示“https”開頭和綠鎖辨別,讓使用者更信任網站的同時還可以提升企業品牌形象,提升網站SEO排名,使用者也可以通過SSL證書驗證企業的真實身份,進而建立信任及促成合作。
最後,天威誠信提醒企業營運者,除為網站部署SSL證書外,還應為電子郵件伺服器部署企業級(OV)或擴充型(EV)SSL證書,并在企業級郵件系統中全面禁用非安全方式的HTTP協定 Web 郵件收發,確定所有消息以電子郵件方式實作全程端到端加密,幫助企業阻擋詐騙、釣魚和勒索病毒的攻擊,保障發件人及接收者的郵件内容和個人資訊安全。