“釣魚”網站居然也有HTTPS
由於資訊洩露、流量劫持、“釣魚”網站等不安全現象在網路上氾濫, HTTPS這一網路傳輸加密協定得到越來越多的應用。 我們也逐步在潛意識中達成這樣一種認知, 即只要有這種標識
出現, 就說明網頁已經過HTTPS加密保護, 可以安心訪問, 輸入帳戶、密碼這些敏感資訊時也不用擔心被洩露。 但看過下面這兩個例子後……
看, 這短信內容就透著一股套路, 而附帶的HTTPS連結實為“釣魚”連結。
下面這個連結看似很安全, 但實際卻是一個假冒穀歌Play商店的釣魚網站。 仔細觀察, 你會發現網址中包含兩個“.com”, 而穀歌Play商店的真實網址是——https://play.google.com/store
為什麼“釣魚”網站也能顯示HTTPS?難道HTTPS也有假的?我們又該如何防範呢?
“釣魚”網站是如何用上HTTPS的
如果一家網站想實現HTTPS, 就必須安裝SSL證書。 SSL證書是由數位憑證管理機構(簡稱CA)簽發的, CA是一個受信任的協力廠商組織, 負責發佈和管理SSL證書。
因為申請免費證書時不再需要人工審核, 僅通過系統自動匹配功能變數名稱所有權, 匹配成功後即可獲得證書, 所以駭客完全可以為自己擁有的功能變數名稱申請到免費證書, 再用這個功能變數名稱搭建一個以HTTPS開頭的“釣魚”網站, 一個虛假的HTTPS也就此誕生。 此時的HTTPS仍可起到加密傳輸的作用, 但資訊傳輸的目的地卻由真實網站的伺服器變成了駭客的“釣魚”伺服器,
如何防範虛假HTTPS
網站安全公司Wordfence最近發佈的一篇網站證書安全報告表明, 有大量冒充穀歌、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的SSL證書, 當用戶訪問網站時, 流覽器會將其標記為“安全”。 那麼, 面對這種情況, 我們又該如何識別、防範虛假HTTPS呢?
其實也很簡單, 就是網站一定要使用經過正規協力廠商CA身份驗證的OV機構型或EV增強型證書。 例如下圖所示網站就安裝了由中國金融認證中心(CFCA)頒發的OV證書, 當你點擊位址欄中的鎖型圖示時, 如果顯示網站身份經CFCA認證, 即說明該網站證書、身份真實可靠, 不用再擔心碰到假的HTTPS啦。
而如果是EV證書, 則無需任何操作, 網站真實性如下圖這樣一目了然。
最後要特別強調的是, 上述問題的產生與HTTPS加密協議無關, 而是駭客利用免費證書鑽了空子, 此類情況也屬於極個別現象, 所以我們仍可對HTTPS充滿信心, HTTPS網站的整體安全性依然遠高於非HTTPS網站, 推進HTTPS在全網普及的腳步也絕不能停歇。
如果您希望瞭解更多與HTTPS和SSL證書相關的資訊, 請撥打010-59798680或登錄ssl.cfca.com.cn查詢。