1. 首页
2. 新闻资讯
3. 安全资讯
4. FBI针对HTTPS网络钓鱼发布警告

FBI针对HTTPS网络钓鱼发布警告

发布日期：2019-06-21

“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。”

6月10号，美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。

几周前，Anti-Phishing Working Group发布了一份报告，称他们在2019年第一季度追踪的钓鱼网站中，58%使用HTTPS，甚至有些估计认为这个数字高达90%。

我们很难不将其归因于免费的SSL证书。提供免费证书是一件很好的事情，它的目的是帮助互联网服务不足的部分，我们对此表示赞赏，但正如FBI指出的，网络钓鱼的存在使得人们不得不改变以往看待安全的方式。

以“https”开头的网站应该为访问者提供隐私和安全。毕竟，HTTPS（超文本传输协议）中的“S”代表“Secure”。实际上，网络安全培训的重点是鼓励人们在这些安全网站的浏览器地址栏中寻找锁的标识， “https”的存在和锁图标理应表明web流量是加密的，并且访问者可以安全地共享数据。不幸的是，网络犯罪分子利用的就是公众对“https”和锁图标的信任。他们申请证书，创建经第三方安全认证的网站，精心设计网站，模仿值得信赖的公司或电子邮件联系人向潜在的受害者发送电子邮件，引诱用户到一个看起来安全的恶意网站来获取敏感的登录或其他信息。

坦率地说，这应该足以让我们重新评估我们都在寻找和使用的信任指标。我们需要更加关注服务器(和客户机)身份。企业和网站本身更有责任维护自己的身份。具有讽刺意味的是，由于相关行业论坛的不作为，一个完全无意的结果是，EV证书正成为成功地证明身份的仅有方法之一。

虽然EV证书并不完美，但它确实要求组织经过可信实体的全面审查。这确实意味着一些事情，没有教育公众将EV作为信任指标，我们错过了一个巨大的机会。

再一次，确保客户知道在浏览器的地址栏中查找EV 身份标识对于单个组织来说更加义不容辞。我们以前已经看到过使用插入符和静态头文件完成此操作，或者通过快速发送邮件到邮件列表也可以提供通知。

对于EV的最大的看法是“人们不知道要去寻找它。”并且它表现的好像是一个无法解决的问题。 它真的不是。 EV是证明身份并保护您自己公司免受网络钓鱼者欺骗的最佳方式。 这是一个非常宝贵的工具。

如果EV正在发挥作用，那么网络钓鱼的发生率将不会以目前的速度增长。 免费的SSL证书使这些网络钓鱼网站越来越令人信服，且几乎每月有数百万的钓鱼网站被创建。

目前HTTPS是现行网络架构下最安全的解决方案。基于SSL加密层，用户可以将网站由HTTP切换到HTTPS，从而保证网络数据传输的安全。有了HTTPS加密，可以防止网站流量劫持，保护用户隐私，还可以保障企业的利益不受损害。为用户隐私保驾护航，将网络攻击风险扼杀在摇篮。建议企业部署SSL证书保护数据安全。但拥有HTTPS和绿色挂锁已经不够了，你需要证明你的身份。虽然方法有限，但EV证书一直是最好的方式之一。

注：部分资料来源于 hashedout

标签： FBI警告, HTTPS

上一篇：误入钓鱼网站陷阱 公司两百万虚拟货币没了

下一篇：数字经济社会，如何保护网络安全

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件