《網路釣魚》HTTPS 鎖頭保證是安全網站的識別標誌?

隨著越來越多網站使用 SSL以提升在 Google搜尋中的排名,使用者將必須瞭解到 HTTPS 鎖頭不再是他們存取安全網站時的識別標誌。他們必須在輸入認證資料和個人識別資訊(PII)前先檢查憑證。此外,也建議除了使用合法來源的授權應用程式外,不要使用行動設備進行交易。

 資料外洩 信用卡 信上購物 網路銀行 網路釣魚 Credict Card1

根據報導,Google將會改善 HTTPS網站在他們搜尋引擎的排名。這可能會鼓勵網站所有者從HTTP切換到 HTTPS。不過網路犯罪分子也會加入了此項轉換。比方說,我們最近發現一起案例,當使用者搜尋安全版本的遊戲網站時,會反而被導到網路釣魚(Phishing)網站。

趨勢科技研究了使用HTTP S而且在2010年到2014年間被趨勢科技的網頁信譽評比技術所封鎖的釣魚網站。根據調查結果顯示,釣魚網站的數量在增加,我們預期它在2014年後半因為假期季節的到來會有倍數的成長。

圖1、2010年到2014年的HTTPS釣魚網站數量

 

這一高度成長的原因之一是對網路犯罪分子來說,很容易就可以建立使用HTTPS的網站:他們可以入侵已經使用HTTPS的網站或是利用使用HTTPS的合法代管網站或其他服務。所以網路犯罪份子不需要去取得自己的SSL憑證,他們只要去濫用或入侵具備有效憑證的伺服器。

這種利用HTTPS的手法也出現在行動網路釣魚(Phishing)。就在最近,趨勢科技發現一個Paypal釣魚網頁使用HTTPS和有效的憑證。看起來這詐騙網頁是放在一合法網站上,顯示該網站可能已經淪陷。

要偵測一特定網站是否為釣魚網站,使用者需要檢查憑證的有效性和檢查一般名稱(CN),它通常會和網域名稱相符。在螢幕擷圖中,mobile.paypal.com是一般名稱(CN)和組織是Paypal, Inc。釣魚網站的憑證則沒有這些特徵。

圖2-3、合法網站(左)和釣魚網站(右)的截圖

 



繼續閱讀