思科調查：你越信任HTTPS，越容易被攻擊

思科Talos團隊的研究人員Anna Shirokova和Ivan Nikolaev寫道：

事實上在過去的一段時間裡，安全界一直在教育用戶通信安全的重要性。用戶不斷的被告知使用HTTPS可以確保這一鏈接的安全性。

他們說，用戶不斷提高的安全意識似乎已經形成了一個「奇怪的副作用」，他們開始信任任何使用HTTPS的安全信息，而這些信任卻越來越多地被騙子濫用，特別是通過網路釣魚攻擊。

他們這樣寫道：「在我們的分析中，我們已經觀察到很多用於網路釣魚的域名通過詐騙者提供的假技術支持，不斷的向客戶宣傳質量可疑的產品。」

攻擊者正在冒充諸如http://Apple.com，http://Facebook.com，http://Microsoft.com和http://PayPal.com等知名域名，並且將他們用作網路釣魚域名的虛假網站，如apple.com-133[.]com and facebook.com-secured[.]com，並且具有合法證書。

這意味著訪問域名並查看該URL的用戶將看到一點綠色的鎖定，但很少有人檢查實際的證書。

網路釣魚郵件通常鏈接到欺騙性網站，當他們在移動瀏覽器或狹窄的瀏覽器窗口中查看時，目標所看到的唯一的事情是URL和欺詐域的前半部分（如Microsoft.com-pl-lot1[.]oficjalne-prezenty-gadzet[.]top.。研究人員說，攻擊者正在利用證書頒發機構，例如免費提供證書的Lets Encrypt，而這一點完全沒有問題。

「我們承認這裡存在一個問題，但是解決方案並不是很清楚，」Let』s Encrypt的執行總監Josh Aas說。他指出，Let』s Encrypt的主要任務是防止網路上的監督和審查。

Aas表示，證書頒發機構不應主觀地禁止域名獲取證書，因為這將導致基本上都是對HTTPS來進行審查，因為HTTPS目前已經變得更加強制。網路釣魚網站濫用SSL和TLS證書並不是什麼新鮮事。上個月，SSL商店的一份報告說，去年，在域名或證書身份中包含「PayPal」字樣的網站發布了15,270張免費SSL證書。它聲稱有97％是發給網路釣魚網站的。

問題的癥結在於這個綠色的鎖，人們並不知道這是什麼意思，只是簡單的理解為是安全的。但事實上這意味著這個鏈接是加密的，而不是說網站的內容是安全的。

而根據Aas的說法，現在最好的做法其實是依靠Google Safe Browsing和Microsoft Smartscreen這樣的框架，因為他們有能力阻止並報告給用戶當前網站是不安全的。

本文翻譯自：Rash Of Phishing Attacks Use HTTPS To Con Victims，如若轉載，請註明來源於嘶吼： 思科調查：你越信任HTTPS，越容易被攻擊 - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：