天天看点

专家也要小心,HTTPS网址的网站就一定安全吗?

随着越来越多网站使用 ssl以提升在 google搜寻中的排名(请参考安全牛之前的报道”谷歌调整搜索排名算法,激励网站采用https安全协议“),使用者将必须了解到 https 前缀不再是他们判断网站是否安全的识别标志。他们必须在输入认证数据和个人标识信息(pii)前先检查凭证。此外,也建议除了使用合法来源的授权应用程序 外,不要使用移动设备进行交易。

根据报导,google将会改善 https网站在他们搜索引擎的排名。这可能会鼓励网站所有者从http切换到 https。不过网络犯罪分子也加入了https转换的热潮。比方说,我们最近发现一起案例,当使用者搜寻安全版本的游戏网站时,会反而被导到网络钓鱼(phishing)网站。

趋势科技近日研究了使用https而且在2010年到2014年间被趋势科技的网页信誉评比技术所封锁的钓鱼网站。根据调查结果显示,钓鱼网站的数量在增加,预期它在2014年后半因为假期季节的到来会有倍数的成长。

专家也要小心,HTTPS网址的网站就一定安全吗?

图1、2010年到2014年的https钓鱼网站数量

这一高度成长的原因之一是对网络犯罪分子来说,很容易就可以建立使用https的网站:他们可以入侵已经使用https的网站或是利用使用https的合法代管网站或其他服务。所以网络犯罪份子不需要去取得自己的ssl凭证,他们只要去滥用或入侵具备有效凭证的服务器。

这种利用https的手法也出现在行移动网络钓鱼(phishing)。就在最近,趋势科技发现一个paypal钓鱼网页使用https和有效的凭证。看起来这诈骗网页是放在一合法网站上,显示该网站可能已经沦陷。

要侦测一特定网站是否为钓鱼网站,使用者需要检查凭证的有效性和检查一般名称(cn),它通常会和域名相符。在屏幕撷图中,mobile.paypal.com是一般名称(cn)和组织是paypal, inc。钓鱼网站的凭证则没有这些特征。

专家也要小心,HTTPS网址的网站就一定安全吗?

图2-3、合法网站(左)和钓鱼网站(右)的截图

通常,移动设备使用者在给出认证信息前要先检查网址列的「https」和前缀图示。然而,在这最近的行动网络钓鱼攻击中,检查这些可能并 不足够。一些移动浏览器并不一定可以简易地秀出ssl信息。例如,windows行动浏览器(ie)可以显示锁头图标,但用户无法单击以查看凭证的详细信 息。

我们建议使用者需要检查(透过搜索引擎)它们是否真的来自同一公司网站的网址。例如,使用者在任何值得信任的搜索引擎中搜寻paypal,如果使用 者收到或存取的网址和经由搜索引擎所出现的不同,那尽管它是「https」,也有「锁头」图示,它还是很有可能是恶意网站。如果它是普遍的银行或金融机 构,合法网站将始终显示为最上层结果。

下一步是要检查凭证有效性。被入侵的https网站可能具备有效的凭证,但使用者仍然可以在给出认证资料前先检查凭证的一般名称(cn)和组织信息。请注意,认证机构(ca)不会发证书给恶意网站。这些对一般个人计算机也同样适用。

虽然有些网站在网址列会出现绿色“锁头”图示以作为一种安全指标,使用者还是需要检查一般名称(cn)和组织。例如,使用者搜寻美国银行的登录页面,点击最上层结果。在登录页面中,他们可以检查绿色图示列和域名(本例中为bankofamerica.com)。

当他们按下绿色图示列时,将会弹出一个窗口。使用者接着可以检查「颁发给」,这相当于「一般名称(cn)」。请注意,一般名称和域名应该相符。

专家也要小心,HTTPS网址的网站就一定安全吗?

图4、检查绿色图示列和域名来确认是否为一个合法网站

随着越来越多网站使用ssl以提升在google搜寻中的排名,使用者将必须了解到https锁头不再是他们存取安全网站时的识别标志。他们必须在 输入认证数据和个人标识信息(pii)前先检查凭证。此外,也建议除了使用合法来源的授权应用程序外,不要使用行动设备进行交易。

基于主动式云端截毒技术的反馈数据,最常会去连上https钓鱼网站的国家是美国和巴西。

专家也要小心,HTTPS网址的网站就一定安全吗?

图5、最受影响的国家

继续阅读