随着越來越多網站使用 ssl以提升在 google搜尋中的排名(請參考安全牛之前的報道”谷歌調整搜尋排名算法,激勵網站采用https安全協定“),使用者将必須了解到 https 字首不再是他們判斷網站是否安全的識别标志。他們必須在輸入認證資料和個人辨別資訊(pii)前先檢查憑證。此外,也建議除了使用合法來源的授權應用程式 外,不要使用移動裝置進行交易。
根據報導,google将會改善 https網站在他們搜尋引擎的排名。這可能會鼓勵網站所有者從http切換到 https。不過網絡犯罪分子也加入了https轉換的熱潮。比方說,我們最近發現一起案例,當使用者搜尋安全版本的遊戲網站時,會反而被導到網絡釣魚(phishing)網站。
趨勢科技近日研究了使用https而且在2010年到2014年間被趨勢科技的網頁信譽評比技術所封鎖的釣魚網站。根據調查結果顯示,釣魚網站的數量在增加,預期它在2014年後半因為假期季節的到來會有倍數的成長。
圖1、2010年到2014年的https釣魚網站數量
這一高度成長的原因之一是對網絡犯罪分子來說,很容易就可以建立使用https的網站:他們可以入侵已經使用https的網站或是利用使用https的合法代管網站或其他服務。是以網絡犯罪份子不需要去取得自己的ssl憑證,他們隻要去濫用或入侵具備有效憑證的伺服器。
這種利用https的手法也出現在行移動網絡釣魚(phishing)。就在最近,趨勢科技發現一個paypal釣魚網頁使用https和有效的憑證。看起來這詐騙網頁是放在一合法網站上,顯示該網站可能已經淪陷。
要偵測一特定網站是否為釣魚網站,使用者需要檢查憑證的有效性和檢查一般名稱(cn),它通常會和域名相符。在螢幕撷圖中,mobile.paypal.com是一般名稱(cn)群組織是paypal, inc。釣魚網站的憑證則沒有這些特征。
圖2-3、合法網站(左)和釣魚網站(右)的截圖
通常,移動裝置使用者在給出認證資訊前要先檢查網址列的「https」和字首圖示。然而,在這最近的行動網絡釣魚攻擊中,檢查這些可能并 不足夠。一些移動浏覽器并不一定可以簡易地秀出ssl資訊。例如,windows行動浏覽器(ie)可以顯示鎖頭圖示,但使用者無法單擊以檢視憑證的詳細信 息。
我們建議使用者需要檢查(透過搜尋引擎)它們是否真的來自同一公司網站的網址。例如,使用者在任何值得信任的搜尋引擎中搜尋paypal,如果使用 者收到或存取的網址和經由搜尋引擎所出現的不同,那盡管它是「https」,也有「鎖頭」圖示,它還是很有可能是惡意網站。如果它是普遍的銀行或金融機 構,合法網站将始終顯示為最上層結果。
下一步是要檢查憑證有效性。被入侵的https網站可能具備有效的憑證,但使用者仍然可以在給出認證資料前先檢查憑證的一般名稱(cn)群組織資訊。請注意,認證機構(ca)不會發證書給惡意網站。這些對一般個人計算機也同樣适用。
雖然有些網站在網址列會出現綠色“鎖頭”圖示以作為一種安全名額,使用者還是需要檢查一般名稱(cn)群組織。例如,使用者搜尋美國銀行的登入頁面,點選最上層結果。在登入頁面中,他們可以檢查綠色圖示列和域名(本例中為bankofamerica.com)。
當他們按下綠色圖示列時,将會彈出一個視窗。使用者接着可以檢查「頒發給」,這相當于「一般名稱(cn)」。請注意,一般名稱和域名應該相符。
圖4、檢查綠色圖示列和域名來确認是否為一個合法網站
随着越來越多網站使用ssl以提升在google搜尋中的排名,使用者将必須了解到https鎖頭不再是他們存取安全網站時的識别标志。他們必須在 輸入認證資料和個人辨別資訊(pii)前先檢查憑證。此外,也建議除了使用合法來源的授權應用程式外,不要使用行動裝置進行交易。
基于主動式雲端截毒技術的回報資料,最常會去連上https釣魚網站的國家是美國和巴西。
圖5、最受影響的國家