Anti-Phishing Working Group 在2019年發(fā)布了一份報告����,稱(chēng)他們在2019年第一季度追蹤的釣魚(yú)網(wǎng)站中��,58%使用HTTPS�����,甚至有些估計認為這個(gè)數字高達90%��。
我們很難不將其歸因于免費的SSL證書(shū)��。提供免費證書(shū)是一件很好的事情��,它的目的是幫助互聯(lián)網(wǎng)服務(wù)不足的部分�,我們對此表示贊賞���,但正如FBI指出的�,網(wǎng)絡(luò )釣魚(yú)的存在使得人們不得不改變以往看待安全的方式����。
以“https”開(kāi)頭的網(wǎng)站應該為訪(fǎng)問(wèn)者提供隱私和安全��。畢竟���,HTTPS(超文本傳輸協(xié)議)中的“S”代表“Secure”����。實(shí)際上�,網(wǎng)絡(luò )安全培訓的重點(diǎn)是鼓勵人們在這些安全網(wǎng)站的瀏覽器地址欄中尋找鎖的標識���, “https”的存在和鎖圖標理應表明web流量是加密的�����,并且訪(fǎng)問(wèn)者可以安全地共享數據���。
不幸的是�����,網(wǎng)絡(luò )犯罪分子利用的就是公眾對“https”和鎖圖標的信任��。他們申請證書(shū)���,創(chuàng )建經(jīng)第三方安全認證的網(wǎng)站����,精心設計網(wǎng)站��,模仿值得信賴(lài)的公司或電子郵件聯(lián)系人向潛在的受害者發(fā)送電子郵件�,引誘用戶(hù)到一個(gè)看起來(lái)安全的惡意網(wǎng)站來(lái)獲取敏感的登錄或其他信息�。
坦率地說(shuō)�����,這應該足以讓我們重新評估我們都在尋找和使用的信任指標����。我們需要更加關(guān)注服務(wù)器(和客戶(hù)機)身份����。企業(yè)和網(wǎng)站本身更有責任維護自己的身份����。具有諷刺意味的是���,由于相關(guān)行業(yè)論壇的不作為�,一個(gè)完全無(wú)意的結果是����,EV證書(shū)正成為成功地證明身份的僅有方法之一����。
雖然EV證書(shū)并不完美��,但它確實(shí)要求組織經(jīng)過(guò)可信實(shí)體的全面審查��。這確實(shí)意味著(zhù)一些事情�,沒(méi)有教育公眾將EV作為信任指標���,我們錯過(guò)了一個(gè)巨大的機會(huì )�����。
再一次�����,確?��?蛻?hù)知道在瀏覽器的地址欄中查找EV 身份標識對于單個(gè)組織來(lái)說(shuō)更加義不容辭�����。我們以前已經(jīng)看到過(guò)使用插入符和靜態(tài)頭文件完成此操作���,或者通過(guò)快速發(fā)送郵件到郵件列表也可以提供通知�。
對于EV的最大的看法是“人們不知道要去尋找它���?����!辈⑶宜憩F的好像是一個(gè)無(wú)法解決的問(wèn)題��。 它真的不是����。 EV是證明身份并保護您自己公司免受網(wǎng)絡(luò )釣魚(yú)者欺騙的最佳方式��。 這是一個(gè)非常寶貴的工具�����。
如果EV正在發(fā)揮作用�����,那么網(wǎng)絡(luò )釣魚(yú)的發(fā)生率將不會(huì )以目前的速度增長(cháng)���。 免費的SSL證書(shū)使這些網(wǎng)絡(luò )釣魚(yú)網(wǎng)站越來(lái)越令人信服��,且幾乎每月有數百萬(wàn)的釣魚(yú)網(wǎng)站被創(chuàng )建�����。
擁有HTTPS和綠色掛鎖已經(jīng)不夠了�,你需要證明你的身份����。雖然方法有限�,但EV證書(shū)一直是最好的方式之一�。
計算
安全
數據庫
網(wǎng)絡(luò )和加速
AI應用
