Netcraft调查显示,2017年1季度发现数以万计的有效SSL证书颁发给具有明显网络钓鱼和诈骗意图的域名,其中由let's encrypt和Comodo发布的免费SSL证书占到了96%。
在2017年1月1日到3月31日期间,Netcraft已经拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截,而不是拦截特定的子目录。在被完全拦截的网站中,61%使用了Let's Encrypt颁发的证书,36%使用了Comodo颁发的证书。
MozillaFirefox的遥测报告显示,大约55%的页面加载都是通过HTTPS。向安全互联网迁移对于防范未加密流量带来的风险至关重要,能够轻松获取到有效证书是近期HTTPS页面增长的关键因素。然而,利用HTTPS站点值得信赖的认知,轻松获取到有效证书也为欺诈者提供了机会,大量证书颁发给了明确具有欺诈性的域名也证明了这一点。
看看少量被拦截的欺诈指数较高的具有有效证书的钓鱼网站样本:
Let'sEncrypt在网络钓鱼和恶意软件方面的政策是检查安全浏览API,这不能对预签发的证书提供有效拦截。这和自动化证书部署并不匹配,因为在自动化证书部署时,在颁发和安装证书时,有关钓鱼的内容可能还未被上传、检测和拦截。Let's Encrypt还有一个有限的域名列表,他们会阻止向这些域名颁发证书。尽管有安全浏览检查和基于域名的额外拦截,但Netcraft还是发现很多钓鱼网站的证书是由Let's Encrypt颁发的。
钓鱼网站https://www.instagram.com-getid.com(欺诈性指数为9.46)
这些钓鱼网站对使用TLS是极其危险的,因为使用TLS的网站被看做可信站点,且由一些合法机构运营。消费者一直受到这样的指导:在向网站提交如密码和信用卡号等敏感信息前,在浏览器中寻找挂锁、安全指示标志和地址栏中的“https://”。
但是,仅显示挂锁或“安全(Secure)”指示标志并不意味着使用TLS的网站是可信的,或是由合法机构运营的。连接的安全性和向HTTPS站点提供敏感信息的安全性之间是有区别的,对那些不熟悉TLS技术基础的人来说,解释这个区别非常困难。
为了展示解释这种技术区别上的难度,谷歌Chrome浏览器通过在地址栏显示“安全(Secure)”这个单词来表明一个HTTPS连接使用的是有效的TLS证书。而“安全(secure)”这个单词是指,为防范窃听者而对加密连接进行保护,并通过在下拉菜单显示“私有”这个单词。虽然这对用户来说意义可能很重要,但两者之间的区别却是很微妙的。但需要注意的是,谷歌已经最先开始研究怎样让广大互联网用户了解安全指示标志。
谷歌Chrome和Mozilla Firefox浏览器最近已经更改了在非TLS站点上的密码输入框的显示——非安全表单现在会触发警告。这些警告很可能会促使钓鱼网站更多的采用TLS,骗子们会为了在收集密码时获得“安全(Secure)”标志并避免出现负面标志而部署TLS。
在被Netcraft完全拦截的具有有效TLS证书的19700个主机名中,有72.5%的域名欺诈性指数超过5.0,有49%超过7.0(指数范围是0.0到10.0)。作为对比,在2017年4月Netcraft进行的SSL抽样调查中发现的2017年2月颁发的域验证证书中随机抽取10000个主机名,其平均域名欺诈性指数为0.72,有7%超过5.0,4.4%超过7.0。
被拦截的具有有效TLS证书的钓鱼网站的域名欺诈性指数分布
参考来源:Netcraft
1315
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
