FBI針對HTTPS網絡釣魚發佈警告

「不要由於一個網站在瀏覽器地址欄中有一個鎖的標識或「https」就信任它。」

6月10號，美國聯邦調查局(FBI)就HTTPS網絡釣魚案件的上升發出了公開警告。

幾周前，Anti-Phishing Working Group發佈了一份報告，稱他們在2019年第一季度追蹤的釣魚網站中，58%使用HTTPS，甚至有些估計認爲這個數字高達90%。

 

咱們很難不將其歸因於免費的SSL證書。提供免費證書是一件很好的事情，它的目的是幫助互聯網服務不足的部分，咱們對此表示讚揚，但正如FBI指出的，網絡釣魚的存在使得人們不得不改變以往看待安全的方式。

以「https」開頭的網站應該爲訪問者提供隱私和安全。畢竟，HTTPS（超文本傳輸協議）中的「S」表明「Secure」。實際上，網絡安全培訓的重點是鼓勵人們在這些安全網站的瀏覽器地址欄中尋找鎖的標識， 「https」的存在和鎖圖標理應代表web流量是加密的，而且訪問者能夠安全地共享數據。不幸的是，網絡犯罪分子利用的就是公衆對「https」和鎖圖標的信任。他們申請證書，建立經第三方安全認證的網站，精心設計網站，模仿值得信賴的公司或電子郵件聯繫人向潛在的受害者發送電子郵件，引誘用戶到一個看起來安全的惡意網站來獲取敏感的登陸或其餘信息。

 

坦率地說，這應該足以讓咱們從新評估咱們都在尋找和使用的信任指標。咱們須要更加關注服務器(和客戶機)身份。企業和網站自己更有責任維護本身的身份。具備諷刺意味的是，因爲相關行業論壇的不做爲，一個徹底無心的結果是，EV證書正成爲成功地證實身份的僅有方法之一。

雖然EV證書並不完美，但它確實要求組織通過可信實體的全面審查。這確實意味着一些事情，沒有教育公衆將EV做爲信任指標，咱們錯過了一個巨大的機會。

 

再一次，確保客戶知道在瀏覽器的地址欄中查找EV 身份標識對於單個組織來講更加責無旁貸。咱們之前已經看到過使用插入符和靜態頭文件完成此操做，或者經過快速發送郵件到郵件列表也能夠提供通知。

對於EV的最大的見解是「人們不知道要去尋找它。」而且它表現的好像是一個沒法解決的問題。 它真的不是。 EV是證實身份並保護您本身公司免受網絡釣魚者欺騙的最佳方式。 這是一個很是寶貴的工具。

若是EV正在發揮做用，那麼網絡釣魚的發生率將不會以目前的速度增加。 免費的SSL證書使這些網絡釣魚網站愈來愈使人信服，且幾乎每個月有數百萬的釣魚網站被建立。

擁有HTTPS和綠色掛鎖已經不夠了，你須要證實你的身份。雖然方法有限，但TrustAsia EV證書一直是最好的方式之一。

 

【來自SSL China】