随着越来越多网站使用 SSL以提升在 Google搜寻中的排名(请参考安全牛之前的报道”谷歌调整搜索排名算法,激励网站采用HTTPS安全协议“),使用者将必须了解到 HTTPS 前缀不再是他们判断网站是否安全的识别标志。他们必须在输入认证数据和个人标识信息(PII)前先检查凭证。此外,也建议除了使用合法来源的授权应用程序 外,不要使用移动设备进行交易。
根据报导,Google将会改善 HTTPS网站在他们搜索引擎的排名。这可能会鼓励网站所有者从HTTP切换到 HTTPS。不过网络犯罪分子也加入了HTTPS转换的热潮。比方说,我们最近发现一起案例,当使用者搜寻安全版本的游戏网站时,会反而被导到网络钓鱼(Phishing)网站。
趋势科技近日研究了使用HTTPS而且在2010年到2014年间被趋势科技的网页信誉评比技术所封锁的钓鱼网站。根据调查结果显示,钓鱼网站的数量在增加,预期它在2014年后半因为假期季节的到来会有倍数的成长。
图1、2010年到2014年的HTTPS钓鱼网站数量
这一高度成长的原因之一是对网络犯罪分子来说,很容易就可以建立使用HTTPS的网站:他们可以入侵已经使用HTTPS的网站或是利用使用HTTPS的合法代管网站或其他服务。所以网络犯罪份子不需要去取得自己的SSL凭证,他们只要去滥用或入侵具备有效凭证的服务器。
这种利用HTTPS的手法也出现在行移动网络钓鱼(Phishing)。就在最近,趋势科技发现一个Paypal钓鱼网页使用HTTPS和有效的凭证。看起来这诈骗网页是放在一合法网站上,显示该网站可能已经沦陷。
要侦测一特定网站是否为钓鱼网站,使用者需要检查凭证的有效性和检查一般名称(CN),它通常会和域名相符。在屏幕撷图中,mobile.paypal.com是一般名称(CN)和组织是Paypal, Inc。钓鱼网站的凭证则没有这些特征。
图2-3、合法网站(左)和钓鱼网站(右)的截图
通常,移动设备使用者在给出认证信息前要先检查网址列的「HTTPS」和前缀图示。然而,在这最近的行动网络钓鱼攻击中,检查这些可能并 不足够。一些移动浏览器并不一定可以简易地秀出SSL信息。例如,Windows行动浏览器(IE)可以显示锁头图标,但用户无法单击以查看凭证的详细信 息。
我们建议使用者需要检查(透过搜索引擎)它们是否真的来自同一公司网站的网址。例如,使用者在任何值得信任的搜索引擎中搜寻Paypal,如果使用 者收到或存取的网址和经由搜索引擎所出现的不同,那尽管它是「HTTPS」,也有「锁头」图示,它还是很有可能是恶意网站。如果它是普遍的银行或金融机 构,合法网站将始终显示为最上层结果。
下一步是要检查凭证有效性。被入侵的HTTPS网站可能具备有效的凭证,但使用者仍然可以在给出认证资料前先检查凭证的一般名称(CN)和组织信息。请注意,认证机构(CA)不会发证书给恶意网站。这些对一般个人计算机也同样适用。
虽然有些网站在网址列会出现绿色“锁头”图示以作为一种安全指标,使用者还是需要检查一般名称(CN)和组织。例如,使用者搜寻美国银行的登录页面,点击最上层结果。在登录页面中,他们可以检查绿色图示列和域名(本例中为bankofamerica.com)。
当他们按下绿色图示列时,将会弹出一个窗口。使用者接着可以检查「颁发给」,这相当于「一般名称(CN)」。请注意,一般名称和域名应该相符。
图4、检查绿色图示列和域名来确认是否为一个合法网站
随着越来越多网站使用SSL以提升在Google搜寻中的排名,使用者将必须了解到HTTPS锁头不再是他们存取安全网站时的识别标志。他们必须在 输入认证数据和个人标识信息(PII)前先检查凭证。此外,也建议除了使用合法来源的授权应用程序外,不要使用行动设备进行交易。
基于主动式云端截毒技术的反馈数据,最常会去连上HTTPS钓鱼网站的国家是美国和巴西。
图5、最受影响的国家