文档章节

钓鱼网站飙升居然因为这个原因...

亚洲诚信
 亚洲诚信
发布于 2017/07/21 10:52
字数 772
阅读 17
收藏 0

2017年注定是个不太平的年份,钓鱼网站的数量已经达到了巅峰状态……

虽然各大主流浏览器已经推进网站HTTPS的部署,但也正是因为这个原因,一部人认为只要安装了SSL证书就可以保证网站的安全,所以导致免费SSL证书的申请数量急剧上升。由于申请免费的SSL证书不需要进行严格的身份验证过程,使得任何人包括钓鱼网站者都可以轻松地获取SSL证书,这就造成了即使网站显示的是HTTPS,但很有可能这个网站是由于部署了免费的SSL证书而被标记成“安全”的网站。

一个标记为“安全”的钓鱼网站就这么明目张胆的出现在网上,这可不是什么好事情。另外,由谷歌和Mozilla领导的浏览器,从Chrome 56 / Firefox 51开始,将安全标识从低调的安全挂锁更改为“安全/不安全”的两极化提示,更是助长了钓鱼网站,这种“简单粗暴”的认证方式让钓鱼网站的持有者沾沾自喜,继而通过申请免费证书,几分钟就可以“完美”的伪装成一个正常的网站。下图是Netcraft的数据,展示了自从浏览器界面改变后, HTTPS钓鱼网站就出现飙升的情况。

亚洲诚信:钓鱼网站飙升居然因为这个原因!

免费SSL证书的项目促使这一趋势保持增长。根据The SSL Store的统计,二月份免费SSL项目已经发行15000张PayPal的网络钓鱼证书,随着Let's Encrypt通配符证书的发行,使用HTTPS的钓鱼网站数量将会呈指数级增长。

PayPal不是唯一被钓鱼网站锁定的目标,苹果、AOL、雅虎、微软等都是钓鱼网站仿冒的对象。通过网络钓鱼检测系统,从电子邮件中收集数据并识别指向钓鱼网站的URL,每天可以发现数千个这样的URL。

亚洲诚信:钓鱼网站飙升居然因为这个原因!

这是一个企图获取苹果ID的钓鱼网站,注意它已经被标记为“安全”。

亚洲诚信:钓鱼网站飙升居然因为这个原因!

这是另一个苹果钓鱼网站的例子,它再次被标记为“安全”。

具备更高计算机水平的用户,看到网站URL时会意识到这不是一个合法的网站。

但一般的互联网用户,更倾向于相信浏览器,会将标记的“安全”误认为是真正的“安全”。为了解决这个问题,浏览器应该更改安全标识,CA安全理事会的建议是这样的。

亚洲诚信:钓鱼网站飙升居然因为这个原因!

从用户的角度的来看,这种方案不再给用户非法网站很“安全”的错误印象。

对于网站所有者来说,应尽量选用OV级别以上需要进行严格身份验证的SSL证书,通过身份验证信息的展示,将自己的网站与钓鱼网站区分开。

 

本文转载自:http://www.toutiao.com/i6445049564524184077/

亚洲诚信
粉丝 5
博文 111
码字总数 87980
作品 0
程序员
私信 提问
小心你的微信

微信已逐渐成为手机党甚至普通机油的一个常用App,随着微信的名气升温和用户量攀升,犯罪份子也开始盯上了微信。现在移动设备日渐增多,各种应用层出不穷,而且移动网络的提速使更多人在移动...

胡晋
2013/03/21
974
8
世界上最大的鲤鱼

英国《太阳报》报道,泰国的一个钓鱼专家抓到了世界上最大的鲤鱼。 这条鱼重达120公斤,7月2日在泰国的Bung Sam Lan湖中被发现。更神奇的是,它居然是23年前放生的。据报道,在此之前人类钓到...

阮一峰
2007/07/19
0
0
【钓鱼】与【反钓鱼】的技术剖析

本文来自作者 肖志华 在 GitChat 上分享「钓鱼网站与反钓鱼技术剖析(圆桌会议)」,「阅读原文」查看交流实录 「文末高能」 编辑 | 仓井 钓鱼网站的简介阐述 钓鱼网站通常指伪装成银行及电子...

gitchat
2017/11/29
0
0
错误页面中隐藏webshell的骚思路

     恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面,比如404未找到页面或者403禁止页面,然而它们实际上是webshell登录...

嘶吼RoarTalk
2018/07/31
0
0
发现“钓鱼网站”的一些思路

发现“钓鱼网站”的一些思路 JackZhai 背景: 钓鱼网站是那些模仿社交、银行、电商等网站,用于骗取用户账户名与密码的“套牌网站”。人们在访问网站时,其URL显示在地址栏中,但URL相似时(...

zhaisj
2014/02/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

3_数组

3_数组

行者终成事
今天
7
0
经典系统设计面试题解析:如何设计TinyURL(二)

原文链接:https://www.educative.io/courses/grokking-the-system-design-interview/m2ygV4E81AR 编者注:本文以一道经典的系统设计面试题:《如何设计TinyURL》的参考答案和解析为例,帮助...

APEMESH
今天
7
0
使用logstash同步MySQL数据到ES

概述   在生成业务常有将MySQL数据同步到ES的需求,如果需要很高的定制化,往往需要开发同步程序用于处理数据。但没有特殊业务需求,官方提供的logstash就很有优势了。   在使用logstas...

zxiaofan666
今天
10
0
X-MSG-IM-分布式信令跟踪能力

经过一周多的鏖战, X-MSG-IM的分布式信令跟踪能力已基本具备, 特点是: 实时. 只有要RX/TX就会实时产生信令跟踪事件, 先入kafka, 再入influxdb待查. 同时提供实时sub/pub接口. 完备. 可以完整...

dev5
今天
7
0
OpenJDK之CyclicBarrier

OpenJDK8,本人看的是openJDK。以前就看过,只是经常忘记,所以记录下 图1 CyclicBarrier是Doug Lea在JDK1.5中引入的,作用就不详细描述了,主要有如下俩个方法使用: await()方法,如果当前线...

克虏伯
今天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部