网络钓鱼计划的兴起及其使用 HTTPS 来诱捕毫无戒心的用户

网络钓鱼并不是什么新鲜事。 如今,大多数互联网用户都牢牢掌握了网络钓鱼 101 的注意事项。狡猾的拼写、没有确切的名称、奇怪的电子邮件地址——仅举几个怪癖。

网络钓鱼变得更加先进。 这已被最近的一项证实 来自 PhishLabs 的报告,表明越来越多的网络钓鱼方案正在采用 HTTPS。 虽然大多数网络钓鱼尝试都很糟糕,但仍有许多与真实事物几乎无法区分,尤其是对于知识较少的人。

什么是网络钓鱼?

在我们解释现在在网络钓鱼方案中使用的高级技术之前,我们必须首先解释一下网络钓鱼到底是什么。 网络钓鱼是个人或团体试图通过伪装成受信任的实体来访问敏感信息,例如密码和卡详细信息。

网络钓鱼过程是这样的:

  • 收到来自声称是受信任组织的虚假电子邮件地址的电子邮件,通常说明您的帐户未经授权购买了某个网站链接。
  • 您单击此链接,它看起来有点像受信任的组织。
  • 它要求您输入您的用户名和密码(有时是信用卡详细信息,具体取决于网络钓鱼方案)。
  • 然后将此信息发送给网络钓鱼者,并允许他们控制您的帐户

最常见的伪装包括银行、PayPal 等支付服务、亚马逊等在线商店以及 Blizzard.net 或 Steam 等游戏服务。

网络钓鱼是最广泛提及和受教育的针对在线欺诈形式的一种。 政府和银行已自行向用户解释要注意什么以及怎样应对。

网络钓鱼的进步

人们在输入敏感信息时在互联网上寻找的主要内容之一是绿色小挂锁。 这表明连接是通过 HTTPS 保护的。 据认为,现在所有网站中有一半都使用 HTTPS 加密。

这样做的问题是人们放松了警惕,开始有点过分相信绿色挂锁。 这部分是由于对用户的教育表明绿色挂锁意味着您无需担心。

这促使网络钓鱼者使用 HTTPS 来发挥自己的优势。 使用 HTTPS 意味着人们会放松警惕,他们更有可能信任该网站。 这是网络钓鱼方案的关键,因为关键是使骗局看起来尽可能合法。

这是有效的,因为网络钓鱼本质上是一种电子形式的信任技巧。 您首先必须获得目标的信任,最有效的在线方式是使用绿色挂锁。

绿色挂锁的苦乐参半

虽然几乎每个有安全意识的人都会同意 HTTPS 在互联网上的扩散是一件好事,但它是一把双刃剑。 从好的方面来说,现在大多数在线通信都是加密的,这意味着您的沼泽标准用户至少受到了一定程度的保护。

主要缺点是对那个小小的绿色挂锁的信任。 对于那些受过技术教育的人来说,从合法通信中过滤掉缺点并不是什么大不了的事。 对于那些不太熟悉互联网方式的人来说,绿色挂锁会带来很多问题。

在输入登录详细信息和支付信息时,几乎普遍都指出要始终注意绿色挂锁和 HTTPS。 大多数人会接受这个建议并遵循它,这意味着任何拥有该挂锁的实体都被视为值得信赖。 这甚至意味着人们会忽略其他常见的迹象。

人们需要重新布线,不一定不信任挂锁,而是仔细审视它,而不是把它当作一个单一的批评点。