天威诚信:网络钓鱼为何屡禁不止?HTTPS加密反钓

发布时间:2017-09-27 09:33:00
  网络钓鱼攻击形形色色,花招繁多,但万变不离其宗,即他们想骗取你的个人信息。当然,此类攻击所利用一个主要工具仍是易用的传统邮件,通常这些邮件会发送给大公司工作繁忙或压力大的员工,因为他们会不假思索地点击邮件中的链接。
 
  尽管很多大公司已部署了防御措施(如恶意软件检测器或垃圾邮件过滤器),但黑客已发现新的入侵方法,在一次攻击事件中居然利用了空调。
 
  确切地说,攻击者 2014 年入侵了零售巨头 Target 的网络,造成 1.1 亿条信用卡信息泄露。
 
  此次攻击的原因是攻击者对为 Target 在宾夕法尼亚州的零售店提供空调服务的法齐奥机械服务公司进行了钓鱼诈骗,因为该公司具备 Target 供应商数据库的访问权限。
 
  法齐奥员工点击了一个恶意链接,在毫不知情的情况下导致计算机被入侵,凭证被窃取,使攻击者获取了 Target 的访问权限。数月之后,攻击者入侵了 Target 网络。
 
  最终,Target 还是尽其所能挽回了损失,而其他受害者就不一定这么走运了。根据 NBC 新闻 2012 年的报道,一位未透露姓名的英国女士称,她收到了一个看似来自银行的钓鱼邮件,点击了链接,按照提示输入了个人信息。三天后,她账户上的 160 万美元不翼而飞,这可是她一生的积蓄。
 
  另一种非常流行的网络钓鱼攻击方法称为搜索引擎钓鱼,即诈骗者创建包含某些关键词的网页。这样,用户搜索这些关键词时会检索出这些恶意页面,然后会在 Google 中毫无戒心地单击这些恶意链接,不会将其视为网络钓鱼诈骗,等意识到自己中招时为时已晚。
 
  其他类似方法还包括抢注域名和误植域名,这两种方法依赖的都是正确拼写的 URL 的变体。
 
  抢注域名是指注册和实际公司域名非常类似的域名,然后再模仿真实公司网站伪造另一个网站。误植域名的过程大同小异,但利用的是输入公司域名时常见的打字错误。
 
  此外,随着时间的推移,钓鱼攻击有增无减,公司和组织对于此类风险总是后知后觉,而在实施安全规程、进行必要培训以抗击日益增多的威胁方面行动更为迟缓。
 
防止钓鱼网站最有效、最常用的技术手段包括:
 
使用 HTTPS;
正确配置 Web 浏览器;
监控钓鱼网站;
正确配置邮件客户端;
使用垃圾邮件过滤器。
 
  一般的 HTTP 网站使用 80 端口,而安全版本的 HTTP 即 HTTPS 使用 443 端口,使用 HTTPS 意味着浏览器与目标服务器之间的所有信息均加密传输。所以,HTTPS 的“S”表示“安全”(Secure)。
 
  当然随着免费SSL证书的出现,网络钓鱼者也会使用 HTTPS 搭建钓鱼网站,判断网站合法性的最有效方法是验证证书详细信息,合法的网站应有由知名、可信的证书机构(CA)颁发的证书。

  天威诚信公司作为合法的CA认证机构,以全面的安全解决方案、领先的证书管理平台、专业的技术支持团队及可靠的CA运营机制为中国用户提供最权威的认证服务和最安全的认证保障。

最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
自动化虽好,可不要“贪杯”哟~~
打开网站显示您与此网站建立的连接不安全怎么办?
东京奥运会被钓鱼网站攻击,如何破局?
Google再次发声,浏览器安全措施再度升级
OpenSSL项目发布1.1.1k版本来修复两个高严重性缺陷
美国燃油管道竟被黑客封锁,吓!到底怎么才能确保数据安全?
国务院颁发信息安全条例 国密SM2算法势在必行
疫情防控常态化,企业信息安全将同步迎来“大考”
面试被问HTTPS结果卡壳?笑死,这你都不懂