freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

为什么浏览器绿色挂锁不能完全相信
2020-11-15 22:36:30

多年以来,Apple、Firefox、Google 和 Microsoft 坚持不懈地指出,为了避免被骗,必须要看见浏览器的绿色挂锁才能认为该网站是安全的。可时至今日,光有绿色挂锁是远远不够的。

DigiCert 高级总监 Dean Coclin 认为,在所有主流浏览器都显著增加了绿色挂锁安全提示后,很多犯罪分子也转向使用了,简直无法再继续相信了

近日,反网络钓鱼工作组(APWG)发布的研究报告显示,2020 年第二季度的网络钓鱼攻击大幅上升,攻击中涉及很多使用 TLS 的恶意网站。

证书滥用激增

根据 APWG 的研究报告,第二季度有 80% 的钓鱼网站启用了 SSL 证书。攻击范围从虚假银行网站到社交网站 Facebook 和 WhatsApp,链接地址都指向恶意网站。

多年来,滥用证书一直困扰着整个行业。自从浏览器在地址栏中增加了 SSL 的安全警告后,网络犯罪分子一直在使用 SSL/TLS 挂锁。

网络钓鱼

相比域名验证证书只确认申请人是否拥有对域名的控制权,扩展验证和组织验证证书被认为更加安全。这些更高级别的证书需要对申请人进行更广泛的审查以确认其身份,但是 APWG 的研究报告显示,扩展验证证书也没有那么值得信赖了

报告显示:“第二季度观察到使用扩展验证证书的钓鱼网站越来越多”。根据 APWG 的报告统计,网络钓鱼使用的证书中 91% 经过了域名验证。数字风险保护公司 PhishLabs 创始人 John LaCour 也提出,令人感兴趣的是还发现了 27 个使用扩展验证证书的钓鱼网站。

利用扩展验证证书的攻击者并没有通过合法的渠道获得证书,而是入侵了已经拥有合法证书的网站。毫无戒心的用户可能会认为他们正在与值得信赖的网站进行通信,网站已经经过证书颁发机构的验证,而没有意识到这些证书是被劫持的。CoClin 表示,真正需要的是对域名注册系统进行全面审查,其他都是权宜之计

参考来源

ThreatPost

# 网络钓鱼 # https # 证书
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录