“不要因爲一個網站在瀏覽器地址欄中有一個鎖的標識或“https”就信任它。”
6月10號,美國聯邦調查局(FBI)就HTTPS網絡釣魚案件的上升發出了公開警告。
幾周前,Anti-Phishing Working Group發佈了一份報告,稱他們在2019年第一季度追蹤的釣魚網站中,58%使用HTTPS,甚至有些估計認爲這個數字高達90%。
我們很難不將其歸因於免費的SSL證書。提供免費證書是一件很好的事情,它的目的是幫助互聯網服務不足的部分,我們對此表示讚賞,但正如FBI指出的,網絡釣魚的存在使得人們不得不改變以往看待安全的方式。
以“https”開頭的網站應該爲訪問者提供隱私和安全。畢竟,HTTPS(超文本傳輸協議)中的“S”代表“Secure”。實際上,網絡安全培訓的重點是鼓勵人們在這些安全網站的瀏覽器地址欄中尋找鎖的標識, “https”的存在和鎖圖標理應表明web流量是加密的,並且訪問者可以安全地共享數據。不幸的是,網絡犯罪分子利用的就是公衆對“https”和鎖圖標的信任。他們申請證書,創建經第三方安全認證的網站,精心設計網站,模仿值得信賴的公司或電子郵件聯繫人向潛在的受害者發送電子郵件,引誘用戶到一個看起來安全的惡意網站來獲取敏感的登錄或其他信息。
坦率地說,這應該足以讓我們重新評估我們都在尋找和使用的信任指標。我們需要更加關注服務器(和客戶機)身份。企業和網站本身更有責任維護自己的身份。具有諷刺意味的是,由於相關行業論壇的不作爲,一個完全無意的結果是,EV證書正成爲成功地證明身份的僅有方法之一。
雖然EV證書並不完美,但它確實要求組織經過可信實體的全面審查。這確實意味着一些事情,沒有教育公衆將EV作爲信任指標,我們錯過了一個巨大的機會。
再一次,確保客戶知道在瀏覽器的地址欄中查找EV 身份標識對於單個組織來說更加義不容辭。我們以前已經看到過使用插入符和靜態頭文件完成此操作,或者通過快速發送郵件到郵件列表也可以提供通知。
對於EV的最大的看法是“人們不知道要去尋找它。”並且它表現的好像是一個無法解決的問題。 它真的不是。 EV是證明身份並保護您自己公司免受網絡釣魚者欺騙的最佳方式。 這是一個非常寶貴的工具。
如果EV正在發揮作用,那麼網絡釣魚的發生率將不會以目前的速度增長。 免費的SSL證書使這些網絡釣魚網站越來越令人信服,且幾乎每月有數百萬的釣魚網站被創建。
擁有HTTPS和綠色掛鎖已經不夠了,你需要證明你的身份。雖然方法有限,但TrustAsia EV證書一直是最好的方式之一。
【來自SSL China】
