FBI针对HTTPS网络钓鱼发布警告

“不要由于一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。”

6月10号，美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。

几周前，Anti-Phishing Working Group发布了一份报告，称他们在2019年第一季度追踪的钓鱼网站中，58%使用HTTPS，甚至有些估计认为这个数字高达90%。

咱们很难不将其归因于免费的SSL证书。提供免费证书是一件很好的事情，它的目的是帮助互联网服务不足的部分，咱们对此表示赞扬，但正如FBI指出的，网络钓鱼的存在使得人们不得不改变以往看待安全的方式。

以“https”开头的网站应该为访问者提供隐私和安全。毕竟，HTTPS（超文本传输协议）中的“S”表明“Secure”。实际上，网络安全培训的重点是鼓励人们在这些安全网站的浏览器地址栏中寻找锁的标识， “https”的存在和锁图标理应代表web流量是加密的，而且访问者能够安全地共享数据。不幸的是，网络犯罪分子利用的就是公众对“https”和锁图标的信任。他们申请证书，建立经第三方安全认证的网站，精心设计网站，模仿值得信赖的公司或电子邮件联系人向潜在的受害者发送电子邮件，引诱用户到一个看起来安全的恶意网站来获取敏感的登陆或其余信息。

坦率地说，这应该足以让咱们从新评估咱们都在寻找和使用的信任指标。咱们须要更加关注服务器(和客户机)身份。企业和网站自己更有责任维护本身的身份。具备讽刺意味的是，因为相关行业论坛的不做为，一个彻底无心的结果是，EV证书正成为成功地证实身份的仅有方法之一。

虽然EV证书并不完美，但它确实要求组织通过可信实体的全面审查。这确实意味着一些事情，没有教育公众将EV做为信任指标，咱们错过了一个巨大的机会。

再一次，确保客户知道在浏览器的地址栏中查找EV 身份标识对于单个组织来讲更加责无旁贷。咱们之前已经看到过使用插入符和静态头文件完成此操做，或者经过快速发送邮件到邮件列表也能够提供通知。

对于EV的最大的见解是“人们不知道要去寻找它。”而且它表现的好像是一个没法解决的问题。 它真的不是。 EV是证实身份并保护您本身公司免受网络钓鱼者欺骗的最佳方式。 这是一个很是宝贵的工具。

若是EV正在发挥做用，那么网络钓鱼的发生率将不会以目前的速度增加。 免费的SSL证书使这些网络钓鱼网站愈来愈使人信服，且几乎每个月有数百万的钓鱼网站被建立。

拥有HTTPS和绿色挂锁已经不够了，你须要证实你的身份。虽然方法有限，但TrustAsia EV证书一直是最好的方式之一。

【来自SSL China】