URL 網絡釣魚攻擊日益危險

知道您當前瀏覽的網站上有掛鎖圖標，您是不是感覺更安全了？ 您現在可能會這麼認為，但網絡犯罪分子總會找到繞過這些事情的方法。

事實上，網絡釣魚者已經成功地在其活動中採用了 HTTPS 協議，該協議越來越受歡迎，使他們能夠欺騙用戶相信他們發送的惡意鏈接或電子郵件來自合法實體。 這就是基於 URL 的 HTTPS 網絡釣魚的用武之地。

什麼是基於 URL 的 HTTPS 網絡釣魚？

在談論 HTTPS 網絡釣魚時，我們指的是人們通常訪問的登陸頁面或網站。 許多人可能會與網絡釣魚混淆，因為它通常被認為只是困擾電子郵件，但實際上，電子郵件只是第一階段。 大多數情況下，犯罪者會要求您下載附件，甚至將您引導至惡意網站。

網絡釣魚者面臨的挑戰是可以通過對用戶進行教育來抵消標準網絡釣魚。 大量研究證明，隨著時間的推移和頻繁的時間間隔進行的網絡釣魚模擬顯示在識別這些問題方面有顯著的改進。 此類模擬過程中的主要規則之一是不要陷入可疑鏈接或附件。

在這種情況下，今天的網絡犯罪分子開始發展。

流行的網絡安全公司 FireEye 提到了一些基於 URL 的攻擊的新變體。 這裡的想法是仍然發送一封電子郵件，除了正文中的鏈接外，沒有任何內容。 現在這似乎很容易被忽視，但僅在 2019 年的最初幾個月，FireEye 就觀察到其使用量增加了 26%——這證明它可能是有效的。

對於那些足夠勤奮的人，您可以繼續驗證地址或檢查電子郵件標題。 這裡的問題是沒有多少用戶做這些事情。 因此，很容易理解為什麼有人會愛上這種策略。

第一個變體是一封電子郵件，除了點擊鏈接之外沒有任何內容，第二個變體根本沒有鏈接。 這只是相同的無內容電子郵件，沒有可點擊的 URL，這使得過濾器更難檢測，因為沒有可用的活動鏈接。 在這種情況下，只有當目標在瀏覽器上輸入該鏈接時，該鏈接才會變為活動狀態。

大多數這些電子郵件是在沒有 HTTPS 組件的情況下發送的，但它並不要求犯罪者俱有 SSL 認證。 然而，能夠在 URL 的開頭添加 HTTPS 會增加一個全新的虛假信任級別，這可能會促使某些人按照網絡釣魚者的要求行事。

最後，對這些情況的真正防禦只是自我教育。

越來越多的釣魚網站現在使用 HTTPS

HTTPS 網絡釣魚技術在過去幾年中發展緩慢，但在最近的報告中，每個月都會創建 140 萬個新的網絡釣魚站點。 預計這個數字將在未來幾年繼續增長。 更令人擔憂的是，HTTPS 網絡釣魚網站已從 2017 年的 25% 增長到 2018 年的 49%。

這是一個巨大的增長。 我們不能說 HTTPS 網絡釣魚仍然是一個問題，因為它目前已經存在。 而且也沒有跡象表明它會很快減弱，尤其是在全行業推動將 HTTPS 作為標準的情況下。

我們是怎麼來到這裡的？

今天，大多數網站都使用 HTTPS 協議，這與幾年前只用於允許密碼登錄的網站相比，這是一個很大的變化。 促使 SSL/TLS 證書與 HTTPS 一起使用的原因是谷歌在 2015 年堅持認為這將對搜索引擎算法產生積極影響。

突然之間，沒有 HTTPS 的網站開始受到負面影響。 到 2018 年，谷歌 Chrome 以及許多流行的瀏覽器（如 Firefox 和 Edge）開始將沒有 HTTPS 的網站標記為“不安全”。 網站和用戶採用了這種方法，因此 HTTPS 被視為一件好事，而缺乏它則只是一種糟糕的體驗。

網絡犯罪分子也有這個想法，這表明在 2017 年左右，在其域中使用 HTTPS 的網絡釣魚網站的興起是如何增加的。現在最令人擔憂的想法是，這些攻擊者可能會開始濫用通過合法證書驗證的域。

許多用戶不知道 HTTPS 是做什麼的

知道人們對他們所做的事情和在線發生的事情知之甚少，這可能會令人驚訝。 過去，互聯網用戶必須具備使用計算機的知識，因為以前只能通過這些設備訪問互聯網。 然而現在，幾乎任何擁有可連接互聯網的智能手機的人都可以上網，有效地消除了進入的知識障礙。

而且與智能手機相比，傳統的桌面瀏覽器至少在教會用戶如何使用它們方面做出了一些努力。 今天不再是這種情況。 個人通常只能做他們想做的事情，並在此過程中解決問題。 現在瀏覽時有許多視覺指示器，它們應該作為一種指南，讓用戶知道在網上沖浪時發生了什麼。

不幸的是，情況並非如此。 諸如與 HTTPS 同義的掛鎖圖標之類的符號並沒有完成它們的意圖。 我們可以從這樣一個事實開始，這些掛鎖本質上意味著您與託管站點或應用程序的服務器建立的連接是加密且安全的。 兩方之間交換的任何數據對於可能試圖攔截所述連接的外部攻擊者來說都是安全的。

然而，如果沒有對組織進行某種類型的身份驗證，就無法保證對端一方的聲譽。 您看，黑客也可以使用 HTTPS，因此儘管掛鎖可能意味著連接是安全的，但無法保證主機將如何處理您發送給他們的數據。

重要的是要記住，HTTPS 仍然是一個非常積極的方面，網站需要避免窺探。 這裡的要點是，它的存在與加密連接相關聯並不自動意味著站點所有者本身是值得信任的。

那麼我怎樣才能打敗這些網絡釣魚者呢？

除了簡單地使用 HTTPS 信任域外，專家還建議您檢查域名本身是否存在任何拼寫錯誤。 對通過電子郵件提供的鏈接保持警惕，同時盡可能通過激活多因素身份驗證來保護他們的憑據也很重要。

擁有密碼管理器也是一個好主意，因為這些應用程序通常會在使用您的憑據自動填充域之前驗證域。 如果您的軟件沒有自動提供登錄信息，這可能表明該網站存在問題。