HTTPS a visací zámek neznamená, že web je Bezpečný

online nakupující jsou často povzbuzováni, aby zajistili, že jejich vybrané online obchody jsou „bezpečné“, že “ s “ V HTTPS jsou viditelné a že webový prohlížeč zobrazuje symbol zámku. Šíření těchto viditelných indikátorů jako potvrzení bezpečnosti webových stránek je nejen nezodpovědné; je to také nebezpečné.

jak Brian Krebs nedávno poukázal na Krebs na bezpečnost, dokonce i USA. vládní a federální webové stránky jsou Vinny z této praxe, jako by visací zámek zaručoval oficiální a bezpečnou povahu webu. Není tomu tak. Symbol zámku a související adresa URL obsahující „https“ jednoduše znamenají, že spojení mezi webovým prohlížečem a webovým serverem je šifrováno. To je dobře, ne? Ano, šifrované spojení je pozitivní, alespoň na povrchu, a znamená zvýšenou úroveň důvěry, která je údajně dosažena použitím certifikátu SSL.

jak bylo uvedeno v předchozím článku, SSL certifikáty samy o sobě přicházejí v mnoha podobách, od DIY úsilí pomocí OpenSSL (můžete být dokonce vlastní certifikační autoritou) a zdarma od Let ‚s Encrypt po zakoupená řešení od „uznaných“ certifikačních autorit. Nikdo neudělá nic jiného než potvrzení vlastnictví domény a kromě potvrzení šifrování nepotvrzuje bezpečnostní postupy této webové stránky žádným způsobem. Potvrzuje, že vlastník webových stránek má administrátorský přístup k webovému serveru a ověřil svou totožnost způsobem, který se liší podle vybraného certifikátu SSL.

pojďme ilustrovat nezbytné kroky, které by uživatelé měli podniknout při rozhodování o tom, zda důvěřovat webové stránce, a v některých případech, jak snadné je pro kybernetické zločince obejít takzvané ověřovací procesy.

podle PhishLabs bylo v posledním čtvrtletí roku 2019 74% hlášených phishingových webů „bezpečných“, a to jak HTTPS, tak se symbolem zámku. Mohl bych ukončit tento příspěvek právě tady, když jsem dokázal, že obě kritéria jsou z hlediska bezpečnosti bezcenná. Ale nebudu…

HTTPS nic neznamená

jedinou výhodou HTTPS je, že více či méně nutí šifrované připojení online, protože bez něj mnoho prohlížečů odmítne přístup na web a zobrazí varování. Pokud se uživatel stále chce připojit k „nezabezpečenému webu“, je to možné, ale varování je dáno, což odradí většinu uživatelů. Kyberzločinci bohužel nejsou hloupí, takže většina bude používat šifrování SSL, jak bylo zmíněno dříve. Gratulujeme, nyní máte přímé šifrované spojení s webem kybernetického zločince, který je speciálně navržen pro phishingové útoky, doručování malwaru nebo jiné motivace, jako je sběr dat.

doménám nelze důvěřovat

kdokoli může nastavit web s náklady na hostování od bezplatných (legitimních nebo napadených subdomén) a rozpočtu na dedikované servery. Některé domény jsou důvěryhodné více než jiné, ale jak ukázal Brian Krebs (ano, jsem pravidelným čtenářem), dokonce i domény .gov (vyhrazené pro vládní organizace v USA) lze snadno zfalšovat, když jsou ti, kteří hledají doménu pro podvody, připraveni používat nelegální metody. Požadovaná úroveň výzkumu byla minimální. Předpokládám, že domény. mil a. edu jsou robustnější, ale kdo ví, že? Jedna z mých vlastních domén používá .com.hk a je k dispozici pouze společnostem registrovaným v Hongkongu. Nastavení bylo bolestné-vyžadovalo několik e-mailů, kopie mého obchodního certifikátu, firemní bankovní účet, můj pas, a podrobnosti o pobytu. Ale alespoň vím, že tento proces je dobrý, zahrnující křížovou kontrolu s několika vládními resorty. Totéž neplatí pro .com a další domény nejvyšší úrovně, bez ohledu na umístění. Pokud někdo může získat jeden, jak to může přidat důvěru na webové stránky?

ověření Whois je většinou bezcenné

aby se zabránilo spamu, většina webových stránek skryje kontaktní informace nebo v nejlepším případě poskytuje pouze obecné kontakty. Poskytovatel hostingu může být také umístěn kdekoli a zřídka odráží fyzické umístění podniku.

Due Diligence je vždy nutné

jak je uvedeno v předchozích článcích, vlastním a udržuji několik webových stránek s nízkým provozem. Šel jsem s free Let ‚ s Encrypt SSL certs (s laskavým svolením mého poskytovatele hostingu) pro pohodlí. V současné době nemám zaveden žádný elektronický obchod a jako preferované platební možnosti používám platební brány a přímé podání na firemní účty. Proto nemám žádné požadavky PCI-DSS, takže ostatní tuto noční můru zvládnou.

v souladu s několika předpisy (včetně GDPR) má však každá stránka podrobné zásady ochrany osobních údajů a souborů cookie, které přesně uvádějí, jaké informace jsou shromažďovány od návštěvníků webových stránek. Vím, že moje stránky se řídí osvědčenými postupy v oboru, jsou okamžitě aktualizovány bezpečnostními záplatami a tak dále. Jak zajistím, aby stránky, které navštěvuji, byly stejně bezpečné a důvěryhodné? Ještě důležitější je, jaká jsou rizika?

rizika spoléhání se na HTTPS jako primární indikaci bezpečnosti

počítačoví zločinci používají z větší části HTTPS a samotné webové stránky jsou často spojeny s phishingovými nebo malwarovými kampaněmi. Můžete se tam dostat z e-mailového odkazu v důsledku dotazu vyhledávače nebo doporučení z jiného webu. Ano, jsou si vědomi SEO stejně. Jde o to, samozřejmě, že vlastní webové stránky, aby mohli nainstalovat cokoli, co chtějí, aby jejich cíle uspěly.

stažení zdarma by mohlo způsobit zmatek ve vašem systému nebo spustit keylogging nástroje, kliknutím na odkaz můžete spustit program nebo upravit registr na pozadí, protože okna oznámení jsou často záměrně vyloučena. Kliknutí na cokoli na těchto stránkách by mohlo způsobit problémy. Ve skutečnosti, dokonce i načítání webové stránky by to mohlo udělat, protože existuje mnoho pluginů k dispozici pro sběr dat návštěvníků, jakmile se připojí k webu. Pokud má váš operační systém nebo webový prohlížeč chybu zabezpečení (dokonce i základní nástroje pro sledování návštěvníků mohou získat specifika prohlížeče a operačního systému), pak jste otevřeni útoku. Budou mít vaši IP adresu (pokud nepoužíváte VPN) ke spuštění příslušného hackerského nástroje.

některé tipy a varovné signály, jak se chránit Online

následující (ne vyčerpávající seznam) tipy sníží riziko při prohlížení webu:

aktualizace zabezpečení a opravy pro prohlížeče, OS a Software

nainstalujte je okamžitě, protože hackeři i penetrační testeři mají přístup k veřejně dostupným údajům o nejnovějších zranitelnostech a mohou pomocí nástrojů vyhledávat konkrétní.

používejte zabezpečené prohlížeče (s vestavěnými možnostmi zabezpečení)

váš výběr je osobní preferencí. Používám pět nebo šest různých prohlížečů, včetně Brave, Firefox a Tor.

používejte doplňky a rozšíření k ochraně prohlížení

přidání do zabezpečení webového prohlížeče je dobrý nápad. Cokoli z Nadace Electronic Frontier Foundation je důstojným doplňkem, stejně jako DuckDuckGo ‚ s Privacy Essentials.

VPN

pomocí VPN skryjte svou skutečnou IP adresu a cyklujte ji každých 30 minut. Dokonce i ti svobodní vás skryjí před kybernetickými zločinci. Vyberte si moudře, protože některé VPN pouze sbírají data pro obchodníky a jsou samy o sobě později zaměřeny hackery. Používám komerční řešení.

SEO

použití nástroje, jako je SEO Quake, může poskytnout určité stopy o legitimitě webové stránky, včetně věku, počtu externích a interních odkazů a mnohem více.

webové stránky

podezřelé webové stránky často postrádají základy. Angličtina může být slabá. Může postrádat jakékoli skutečné informace o vlastníkovi webu, například kontaktní údaje. Obvykle nebude vyžadovat stránky zásad ochrany osobních údajů a souborů cookie. Může tlačit BitCoin nebo jiné digitální měny jako preferované platební metody. Ve většině případů to bude jen cítit ‚ off ‚ nebo nabídnout něco pro ceny příliš neuvěřitelné, aby to byla pravda. V současném klimatu jsou podvody COVID-19 běžné, takže buďte opatrní.

závěr

na závěr, když navštívíte nové webové stránky, nespoléhejte se na symbol zámku nebo HTTPS. Vezměte si tento web a zvažte, proč jste tady. Progress je známá značka s globálním dosahem. Většina z nás se drží zavedených značek, ale vyhledávání vás může vést k novému poskytovateli produktů nebo služeb. Před nákupem nebo dokonce prozkoumáním nového webu proveďte náležitou péči. Vyhledejte název domény v uvozovkách a přidejte „recenzi“ nebo „podvod“, abyste pomohli ověřit (s ohledem na to, že jsou také možné falešné recenze a související weby). Ano, podvodníci myslí na všechno. Hodně štěstí …

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.