SSL证书

谷歌火狐浏览器UI变更,钓鱼网站数量飙升

2017-07-19  本文已影响10人  沃通WoTrus

网络钓鱼现在比以往任何时候都更泛滥。根据APWG互联网政策委员会的报告,2016年是网络钓鱼创下纪录,2017年已经达到顶峰。

钓鱼网站出现飙升,主要因为最近的两个趋势,一个是由谷歌和Mozilla领导的浏览器,从Chrome 56 / Firefox 51开始,将安全标识从低调的安全挂锁更改为“安全/不安全”的两极化提示。另一个是免费SSL项目的快速增长,任何人(包括网络钓鱼者)都可以轻松获取合法SSL证书,无需进行严格身份审核。这两个趋势,造就了一个网络钓鱼网站添加SSL就可以被标记为“安全”的环境。

相信很多人都会同意,一个标记为“安全”的网络钓鱼网站可不是什么好事情,它提高了钓鱼网站的成功率。而不管初始意图是什么,当前的浏览器UI正在助长网络钓鱼。下图是Netcraft的数据,展示了自从浏览器界面改变后, HTTPS钓鱼网站就出现飙升的情况。

免费SSL项目促使这一趋势保持增长。根据TheSSLStore的统计,二月份免费SSL项目已经发行15000张PayPal的网络钓鱼证书,随着通配符证书的发行,使用HTTPS的钓鱼网站数量将会呈指数级增长。

PayPal不是唯一被钓鱼网站锁定的目标,苹果、AOL、雅虎、微软等都是钓鱼网站仿冒的对象。通过网络钓鱼检测系统,从电子邮件中收集数据并识别指向钓鱼网站的URL,每天可以发现数千个这样的URL。

以下是部分钓鱼网站网站样本。

这是一个企图获取苹果ID的钓鱼网站,注意它已经被标记为“安全”。

这是另一个苹果钓鱼网站的例子,它再次被标记为“安全”。

这是一个AOL钓鱼网站, 再次注意到它展示“安全”。

这是一个假雅虎登录页面,标记为“安全”。

这个微软网络钓鱼页面更有说服力,因为它展示“安全”。

具备更高计算机水平的用户,看到这些URL时会意识到这不是一个合法的网站。但一般的互联网用户,更倾向于相信浏览器,会将标记的“安全”误认为是真正的“安全”。为了解决这个问题,浏览器应该更改安全标识,CA安全理事会的建议是这样的。

​从用户的角度的来看,这种方案不再给用户非法网站很“安全”的错误印象。对于网站所有者来说,应尽量选用OV级别以上需要进行严格身份验证的SSL证书,通过身份验证信息的展示,将自己的网站与钓鱼网站区分开。

沃通SSL证书新产品,全球信任顶级根,支持最广泛的兼容性,支持所有浏览器和移动终端 ,支持Java和老设备;提供7×24小时全天候服务,无论节假日或深夜都能及时响应用户需求,第一时间解决用户问题;沃通官方服务支持团队,十余年证书行业服务经验,帮助用户少走弯路,正确应对各类复杂应用场景。

上一篇 下一篇

猜你喜欢

热点阅读