online-shoppere opfordres ofte til at sikre, at deres valgte onlinebutikker er ‘sikre’, at ‘s’ i HTTPS er synlige, og at internetsøgeren viser et låsesymbol. Udbredelse af disse synlige indikatorer som bekræftelse af hjemmesidesikkerhed er ikke kun uansvarligt; det er også farligt.
som Brian Krebs for nylig påpegede på Krebs om sikkerhed, selv USA. regering og føderale hjemmesider er skyldige i denne praksis, som om hængelåsen garanterer den officielle og sikre karakter af hjemmesiden. Det er ikke tilfældet. Låssymbolet og den tilhørende URL, der indeholder https, betyder blot, at forbindelsen mellem din internetserver og hjemmesideserveren er krypteret. Det er godt, ikke? Ja, en krypteret forbindelse er en positiv, i det mindste på overfladen, og indebærer et forhøjet niveau af tillid, der angiveligt opnås ved brug af et SSL-certifikat.
som diskuteret i en tidligere artikel kommer SSL-certs selv i mange former, fra DIY-indsats ved hjælp af OpenSSL (du kan endda være din egen certifikatmyndighed) og gratis fra Let ‘s Encrypt til købte løsninger fra’ anerkendte ‘ certifikatmyndigheder. Ingen gør andet end at bekræfte ejerskabet af et domæne, og andet end at bekræfte kryptering, bekræfter ikke sikkerhedspraksis på denne hjemmeside på nogen måde. Det bekræfter, at ejeren af hjemmesiden har administratoradgang til hjemmesiden og har verificeret sin identitet på en måde, der varierer afhængigt af det valgte SSL-cert.
lad os illustrere de nødvendige skridt, som brugerne skal tage, når de beslutter, om de vil stole på en hjemmeside, og i nogle tilfælde, hvor let det er for cyberkriminelle at omgå såkaldte verifikationsprocesser.
ifølge PhishLabs var 74% af de rapporterede phishing-hjemmesider i sidste kvartal af 2019 ‘sikre’, både HTTPS og med låssymbolet. Jeg kunne afslutte dette indlæg lige her, efter at have bevist, at begge kriterier er værdiløse med hensyn til sikkerhed.
HTTPS betyder intet
den eneste fordel ved HTTPS er, at det mere eller mindre tvinger krypterede forbindelser online, da uden det vil mange bro.sere nægte at få adgang til siden og vise en advarsel. Hvis brugeren stadig ønsker at oprette forbindelse til det ‘usikre sted’, er det muligt, men advarslen gives, hvilket vil afskrække de fleste brugere. Desværre er cyberkriminelle ikke dumme, så de fleste vil bruge SSL-kryptering, som tidligere nævnt. Tillykke, du har nu en direkte krypteret forbindelse til en cyberkriminel hjemmeside, en der er specielt designet til phishing-angreb, levering af ondsindede programmer eller andre motivationer som f.eks.
domæner kan ikke stole på
alle kan oprette en hjemmeside med hosting omkostninger lige fra gratis (uanset om legitime eller hacket underdomæner) og budget til dedikerede servere. Nogle domæner er tillid til mere end andre, men som Brian Krebs demonstrerede (ja, jeg er en regelmæssig læser) endnu en gang, selv .gov domæner (forbeholdt offentlige organisationer i USA.) kan let forfalskes, når de, der søger domænet for svindel, er parat til at bruge ulovlige metoder. Det krævede forskningsniveau var minimalt. Jeg antager, at .mil og .edu domæner er mere robuste, men hvem ved, ikke? Et af mine egne domæner bruger .com.hk og er kun tilgængelig for Hong Kong-registrerede virksomheder. Det var en smerte at oprette – kræver flere e-mails, kopier af min virksomhedsregistrering cert, firma bankkonto, mit pas, og opholdsdetaljer. Men i det mindste ved jeg, at processen er god, der involverer en krydskontrol med flere ministerier. Det samme gælder ikke .com og andre topdomæner, uanset placering. Hvis nogen kan få en, Hvordan kan det tilføje tillid til en hjemmeside?
Hvem er verifikation er for det meste værdiløs
for at forhindre spam skjuler de fleste hjemmesider kontaktoplysninger på hjemmesiden eller giver i bedste fald kun generelle kontakter. Hostingudbyderen kan også placeres hvor som helst og afspejler sjældent virksomhedens fysiske placering.
Due Diligence er altid nødvendigt
som nævnt i tidligere artikler, jeg ejer og vedligeholde et par lav trafik hjemmesider. Jeg gik med gratis Lad os kryptere SSL certs (høflighed af min hostingudbyder) for nemheds skyld. Jeg har ingen e-handel på plads i øjeblikket og bruger betalingsportaler og direkte indlevering til firmakonti som foretrukne betalingsmuligheder. Derfor, jeg har ingen PCI-DSS krav, forlader andre til at håndtere det mareridt.
men i overensstemmelse med flere regler (herunder GDPR) har hver hjemmeside en detaljeret privatlivs-og cookiepolitik, der angiver præcis, hvilke oplysninger der indsamles fra besøgende på hjemmesiden. Jeg ved, at mine sider følger branchens bedste praksis, opdateres straks med sikkerhedsrettelser, og så videre. Hvordan sikrer jeg, at de sider, jeg besøger, er lige så sikre og pålidelige? Endnu vigtigere, hvad er risikoen?
risikoen ved at stole på HTTPS som en primær indikation af sikkerhed
cyberkriminelle bruger HTTPS for det meste, og hjemmesiderne selv er ofte knyttet til phishing eller ondsindede kampagner. Du kan ankomme der fra et e-mail-link som et resultat af en søgemaskineforespørgsel eller henvisning fra et andet sted. Ja, de er også opmærksomme på SEO. Sagen er, selvfølgelig, de ejer hjemmesider, så de kan installere noget, de ønsker at gøre deres mål lykkes.
en gratis overførsel kan skabe kaos på dit system eller starte keylogging-værktøjer, hvis du klikker på et link, kan du starte et program eller redigere registreringsdatabasen i baggrunden, da meddelelsesvinduer ofte bevidst undgås. Hvis du klikker på noget på disse sider, kan det medføre problemer. Faktisk kan selv indlæsning af en hjemmeside gøre det, da der er mange plugins til rådighed for at høste besøgsdata, når de opretter forbindelse til hjemmesiden. Hvis dit operativsystem har en sårbarhed (selv grundlæggende besøgssporingsværktøjer kan få bro.ser-og OS-specifikationer), er du åben for et angreb. De vil have din IP-adresse (medmindre du bruger en VPN) til at starte det relevante hackingværktøj.
nogle tip og advarselsskilte til at beskytte dig selv online
følgende (ikke en udtømmende liste) tip reducerer risikoen, mens du surfer på internettet:
sikkerhedsopdateringer og programrettelser
installer dem straks, da hackere og penetrationstestere både har adgang til offentligt tilgængelige data om de nyeste sårbarheder og kan bruge værktøjer til at scanne efter specifikke.
brug sikre bro.ser (med indbyggede sikkerhedsindstillinger)
dit valg er en personlig præference. Jeg bruger fem eller seks forskellige bro. sere, herunder Brave, Firefoks, og Tor.
brug Tilføjelser og udvidelser til at beskytte gennemsyn
det er en god ide at føje til sikkerheden på din netsøgemaskine. Alt fra Electronic Frontier Foundation er en værdig tilføjelse, ligesom DuckDuckGo ‘ s Privacy Essentials.
VPN
brug en VPN til at skjule din faktiske IP-adresse og cykle den hvert 30.minut eller deromkring. Selv Gratis dem vil skjule dig fra cyberkriminelle. Gør dit valg klogt, da nogle VPN ‘ er blot høster data til marketingfolk og selv senere er målrettet af hackere. Jeg bruger en kommerciel løsning.
SEO
brug af et værktøj som SEO jordskælv kan give nogle spor om legitimiteten af en hjemmeside, herunder alder, antal eksterne og interne links og meget mere.
hjemmesiden
mistænkte hjemmesider mangler ofte det grundlæggende. Engelsk kan være svagt. Det kan mangle nogen reel info på hjemmesiden ejer, såsom kontaktoplysninger. Det vil typisk ikke kræve privatlivs-og cookiepolitiksider. Det kan skubbe BitCoin eller andre digitale valutaer som foretrukne betalingsmetoder. I de fleste tilfælde vil det bare føles ‘off’ eller tilbyde noget til prisfastsættelse for utroligt til at være sandt. I det nuværende klima er COVID-19-svindel almindelige, så vær forsigtig.
konklusion
afslutningsvis, når du besøger nye hjemmesider, skal du ikke stole på låssymbolet eller HTTPS. Tag dette site og overveje, hvorfor du er her. Progress er et velkendt brand med en global rækkevidde. De fleste af os holder os til etablerede mærker, men en søgning kan føre dig til et nyt produkt eller en tjenesteudbyder. Gør din due diligence før du foretager et køb eller endda udforske en ny hjemmeside. Søg efter domænenavnet i citater og tilføj ‘anmeldelse’ eller ‘fidus’ for at hjælpe verifikation (i betragtning af at falske anmeldelser og relaterede sider også er mulige). Ja, svindlere tænker på alt. Held og lykke