防止钓鱼网站 除了绿色挂锁外还需要关注域名和EV证书是否合规

HTTPS是用来做加密传输的,但是如果被犯罪分子利用,会混淆用户视线,降低用户警惕性;如果想保证访问的网站安全,只关注绿色挂锁是不够的,还需要检查域名和EV证书是否合规

当货物大量出售时,价格下降。这可能不是经济学的第一定律,但它是适用的。可以推断这是因为如果没有生产成本,也没有涉及原材料,那么这些商品的价格将降至零。通常,它们将作为免费礼物提供,以促进其他更昂贵的商品的销售。像这样的事情也发生在SSL证书上。他们免费提供几个公司的网络托管软件包,包括那些不对买方身份进行彻底检查的公司。也就是说只要有人愿意支付账单,网络托管公司就不会在意购买的托管软件包里的人。

因此,尽管用户现在可以期望在每个站点上看到绿色的挂锁,尤其是那些进行金融交易的人,但我们可以放入基础证书的信任度正在下降。

HTTPS是什么

为了澄清我们正在谈论的内容,让我们来看看我们即将讨论的协议的定义。

安全超文本传输​​协议(HTTPS)是标准网络传输协议(HTTP)的一种变体,它通过安全套接字层(SSL)或传输层安全性(TLS)协议连接为传输中的数据增加了一层安全性。

安全套接字层(SSL)是一种计算机网络协议,用于通过不安全的网络(例如Internet)保护网络应用程序客户端和服务器之间的连接。

传输层安全性(TLS)在不推荐使用SSL时取代了SSL,但TLS与SSL 3.0向后兼容。

所以,基本上TLS是一种计算机联网协议,可在两个通信应用程序之间提供隐私和数据完整性。它用于Web浏览器和其他需要通过网络安全交换数据的应用程序。

只有绿色挂锁是不够的 还要注意域名是否正确

那么,绿色挂锁在哪里起作用?绿色的挂锁仅仅意味着来自网站的流量被加密。证书提供者(证书颁发机构或CA)提供的证书用于设置此加密。但是当你看到这种挂锁时,你唯一能确定的是你的电脑连接到了你在地址栏中看到的网站。

让我们用上面的例子来解释一些这个。右键单击挂锁可以显示更多关于安全连接的信息。因此,我们与PayPal,Inc.拥有的域名paypal.com建立了安全连接,证书颁发机构是赛门铁克。让我们比较一下这个真实的和一个已知的PayPal钓鱼网站正在使用的那个:

正如你所看到的,钓鱼者在他们的网站上也有一个绿色的挂锁。但是当我们看细节时:

从浏览器地址栏中很容易看出,我们没有连接到paypal.com。在附加信息中,我们可以看到钓鱼者使用了CA Let's Encrypt的免费证书。

我知道在这个例子中,很容易在浏览器的地址栏中看到错误的地址,但是拼写错误的域名可能更难以发现,因为它们故意使用与正确网站类似的域名。PayPal已经注册了许多这样的域名注册域名来保护他们的客户。

所以,我们已经确定只有绿色的挂锁是不够的。事实上,  每个月都有超过一百万个新的网络钓鱼站点出现。鉴于每天都会创建很多新网站(不仅仅是钓鱼网站),并且知道托管交易包含免费证书同时价格便宜,我们可以轻易认定托管提供商没有资源来检查每个新网站。即使他们确实执行了这些检查,谁能保证该网站一旦上线后是否不会更改?

因此,由于访问者是承担在钓鱼网站上输入证书后果的人,所以决定权在他那里。

注意识别EV证书HTTPS的加密显示会让你防止受骗

你不需要感到无助,有很多种办法可以营救。有些浏览器在您访问已知的网络钓鱼或其他恶意网站之前会向您发出警告。这种方法基于黑名单,所以如果你是第一批访问者,在没有警告的情况下你仍然会访问到这样的网站。一些安全软件(包括Malwarebytes)阻止已知的网络钓鱼和其他恶意网站。这些方法可以基于黑名单和行为分析。

证书只有在延长检查后才能获得颁发。这些被称为EV(扩展验证)证书。为了显示不同之处,我们再看一遍。

 

底部的屏幕截图是原始的PayPal证书,并且是扩展的。顶级屏幕截图是一个常规域验证(DV)证书(由钓鱼网站使用)。您可能会注意到,EV证书的显示方式与DV证书不同。它们显示方式的差异因浏览器而异,因此您可能需要熟悉这些选项显示在浏览器中的方式。

检查地址栏中的绿色挂锁 域名和EV证书判断合法网站

由于HTTPS和TLS正变得普遍且便宜,钓鱼者不再被禁止在其欺骗性网站上使用绿色挂锁。因此,建议用户注意挂锁背后的证书种类。

最佳做法是为用于传输个人或财务数据的网站设置捷径,而不是点击通过邮件发送给您的链接或通过其他方式找到的链接。初次联系时,需要输入个人信息或凭证的网站上检查的内容如下:

  • 地址栏中是否有绿色的挂锁?
  • 浏览器地址栏中的地址是否符合您的期望?
  • 是否有EV证书?

只有当您对网站属于您希望访问的公司的域名感到满意时,再输入您的凭据或个人数据。注意安全!

发表评论