Bleeping Computer网站日前披露,一个新的网络犯罪活动将钓鱼网站隐藏在谷歌搜索结果中,以窃取亚马逊网络服务(AWS)用户的账户密码。
据悉,当用户搜索“aws”时,不良广告在搜索结果中排名第二,仅次于亚马逊自身推广搜索结果。经过研究分析,安全人员发现攻击者先将广告直接链接到网络钓鱼页面,后期陆续增加了重定向步骤,以期逃避谷歌广告欺诈检测系统的监管,一旦用户输入电子邮件地址和密码,账户信息就会被盗。
网络钓鱼“钓”走491万美元
在众多网络攻击中,网络钓鱼可以说是攻击者最喜欢使用的攻击手段之一。据《2022年数据泄露成本报告》显示,网络钓鱼已成为数据泄露的第二大方式,占比达16%,给受访组织造成高达491万美元的泄露成本。
从当前情况来看,搜索引擎在很大程度上助长了钓鱼网站的横行,当用户已经习惯从搜索引擎进入网站,甚至在访问银行、订票、购物等网站也通过搜索引擎登陆时,就给不法分子提供了可趁之机。
此外,一些黑客也通过这种手段诱骗企业员工点击钓鱼网站,进而黑入企业内部系统,窃取企业数据,或以此勒索企业,或将这些数据进行售卖获利。
部署SSL证书,狙击假冒网站
随着网络钓鱼变得愈加复杂和精明,企业和各个平台也更应该注重安全防护,及时安装SSL证书,以保护用户信息安全、防止用户误进钓鱼假冒网站,为用户提供一个安全可信的访问和交易环境。
部署SSL证书尤其是企业用的OV和EV型证书后,可以为网站进行身份认证,同时确保企业官方网站与用户之间发生的所有通信都是加密的,防止用户误进钓鱼网站,防止第三方窃取、篡改、流量劫持等行为,保证用户数据安全。
同时,部署SSL证书后,网址栏会显示“https”开头和绿锁标识,让用户更信任网站的同时还可以提升企业品牌形象,提升网站SEO排名,用户也可以通过SSL证书验证企业的真实身份,从而建立信任及促成合作。
最后,天威诚信提醒企业运营者,除为网站部署SSL证书外,还应为电子邮件服务器部署企业级(OV)或扩展型(EV)SSL证书,并在企业级邮件系统中全面禁用非安全方式的HTTP协议 Web 邮件收发,确保所有消息以电子邮件方式实现全程端到端加密,帮助企业阻挡诈骗、钓鱼和勒索病毒的攻击,保障发件人及接收者的邮件内容和个人信息安全。