[[251020]]

也許曾經有人建議你所有安全連接都有綠色掛鎖圖標，訪問這些有綠色掛鎖的鏈接可以避免網絡釣魚和惡意軟件攻擊。然而，這條建議現(xiàn)在已經無效了。新的研究表明近一半的網絡釣魚站點現(xiàn)在都部署了安全套接字層(SLL)保護，并在瀏覽器導航欄中設置了掛鎖圖標，試圖給人們一種虛假的安全感。  

貝寶真實登錄頁面

假冒的貝寶登錄頁面，有綠色掛鎖

來自反網絡釣魚公司PhishLabs的最新數(shù)據(jù)顯示，2018年第三季度49%的網絡釣魚站點都在瀏覽器地址欄中顯示有掛鎖圖標。這與一年前的25%和2018年第二季度的35%相比有所上升。 這種轉變令人擔憂，因為大多數(shù)互聯(lián)網用戶已經對文章開頭的建議深信不疑，并將掛鎖圖標與合法網站聯(lián)系在一起。PhishLabs去年進行的一項調查發(fā)現(xiàn)，超過80%的受訪者認為掛鎖表明網站是合法且安全的。 事實上，地址的https://部分(也稱為安全套接字層或SSL)僅僅表明在您的瀏覽器與站點之間傳輸?shù)臄?shù)據(jù)是安全并隱密的，無法被第三方讀取。有掛鎖圖標并不意味著該網站是合法的，也無法保證該網站不會被黑客攻擊 。 

一個使用SSL的Facebook釣魚網站(有綠色掛鎖)

網絡釣魚者對SSL的迅速普及是欺詐者從合法網站獲取新的攻擊思路的一個很好的例子。 “PhishLabs認為這可歸因于Google Chrome瀏覽器現(xiàn)在對那些不使用SSL的網站顯示“不安全”，這促使網絡釣魚者使用SSL證書、注冊域名并為創(chuàng)建證書。”該公司首席技術官John LaCour說。“最重要的是，有沒有SSL并不能告訴用戶網站是否合法、安全。” 主要的Web瀏覽器制造商與許多安全組織合作索引和阻止新的網絡釣魚站點，將網絡釣魚頁面標記出來，還會提供明亮的紅色警告頁面阻止人們訪問這些站點。但并非所有網絡釣魚都迅速地被標記。 研究人員花了幾分鐘瀏覽了一個使用SSL的網絡釣魚站點，發(fā)現(xiàn)這個設計巧妙的頁面試圖從加密貨幣交易所Bibox的用戶那里獲取憑證。 

仔細查看地址欄中的URL，您會發(fā)現(xiàn)Bibox中的“i”上有一個波浪形的標記，這是一個國際化的域名，真實地址是https://www.xn--bbox-vw5a[.]com/login。  

在Google Chrome瀏覽器中加載該網址https://www.xn--bbox-vw5a[.]com/login，會收到一個紅色的“即將前往欺騙性網站”的警告。而在Mozilla Firefox上加載上面的地址——稱為“punycode”——則不會有任何警告，至少在撰寫本文時沒有。 該網絡釣魚網站利用國際化域名(IDN)來混淆視聽，Bibox.com中的“i”被渲染為越南字符“ỉ”，這在URL地址欄中很難區(qū)分。 正如KrebsOnSecurity在三月份指出的那樣，Chrome、Safari以及Microsoft最新版本的Explorer和Edge瀏覽器都會呈現(xiàn)出IDN原本的樣子，而Firefox卻會在地址欄中將代碼轉換為外觀相似的域。 如果您是Firefox(或Tor)用戶，并且希望Firefox在瀏覽器地址欄中始終顯示IDN原本的樣子，請在Firefox地址欄中鍵入“about：config”，不帶引號。  

然后在搜索框中輸入“punycode”，你可以看到一到兩個選項，需要更改的叫做“network.IDN_show_punycode。”在默認情況下，它被設置為“false”; 雙擊該條目將該設置更改為“true”。