安全公司PhishLabs Inc.的一项新研究发现,近一半的网络钓鱼站点现在都部署了安全套接字层(SLL)保护,并在浏览器导航栏中设置了挂锁图标,试图给人们一种虚假的保护意识。

安全研究员Brian Krebs今天对此进行了详细介绍,该报告发现,在第三季度中,有49%的网络钓鱼网站以“https://”开头,高于一年前的25%,而在2018年第二季度,这一数字为35%。

向安全网站迁移背后的原因归结于,许多互联网用户将“寻找绿色的挂锁”的建议看做是安全网站的标志。据称,之前的一项调查发现,80%的受访者认为绿色的锁表明网站是合法且安全的,亦或是合法或安全的。据称,之前的一项调查发现,80%的受访者认为绿色的锁表明网站是合法且安全的,亦或是合法或安全的。

在线进行交易时对网站进行检查,以确保网站的安全性,是一个合理的建议,但任何网站都可以使用SSL加密。采取这种做法的网站数量也呈指数级增长,而在此之前,谷歌有限责任公司在7月份决定,将没有HTTPS扩展的任何网站都标记为不安全,以及在搜索结果将这些网站排在后面。

Comparitech.com的隐私倡导者Paul Bischoff告诉SiliconANGLE,该研究表明,没有一种方法可以识别网络钓鱼网站。

“确保网站有一个由HTTPS指示的有效SSL证书和URL栏中有挂锁的图标只是其中的一步,”Bischoff解释道:“用户还应该在网站的真实URL和网页中查找字符替换('punycode'),子域和其它不一致的地方。你通常可以通过Google搜索公司名称找到真实网站,然后与可疑的钓鱼网址进行比对。”

Bischoff指出,PhishLabs的研究提出了一个关于证书颁发机构和浏览器制造商角色的有趣讨论。

“像Let's Encrypt这样的证书颁发机构通过使网站能够更便宜、更容易地使用HTTPS,从而使网络更安全,但它们也降低了犯罪门槛,”Bischoff说:“HTTPS获得了网站访问者对网站的信任,因此有些人认为证书颁发机构应该审核出售SSL证书的一方。另一方面,许多专家认为浏览器制造商歪曲了HTTPS的成就:加密和身份验证,因为二者不一定能够验证网站所有者的合法性。”

原文作者:DUNCAN RILEY

信息化和软件服务网 - 助力数字中国建设 | 责编:左右