HTTPS ja riippulukko eivät tarkoita, että verkkosivusto on turvallinen

verkko-ostajia kehotetaan usein varmistamaan, että heidän valitsemansa verkkokaupat ovat ”turvallisia”, että HTTPS-kirjain on näkyvissä ja että verkkoselain näyttää lukkosymbolin. Näiden näkyvien indikaattorien levittäminen verkkosivuston turvallisuuden vahvistukseksi ei ole vain vastuutonta; se on myös vaarallista.

kuten Brian Krebs äskettäin huomautti Krebs on Security – sivustolla, jopa U. S. hallitus ja liittovaltion sivustot syyllistyvät tähän käytäntöön, ikään kuin riippulukko takaa sivuston virallisen ja turvallisen luonteen. Se ei pidä paikkaansa. Lukkosymboli ja siihen liittyvä URL, joka sisältää ’https’, tarkoittavat yksinkertaisesti sitä, että verkkoselaimesi ja WWW-palvelimen välinen yhteys on salattu. Eikö olekin hyvä? Kyllä, salattu yhteys on positiivinen, ainakin pinnalla, ja merkitsee kohonnutta luottamusta, joka muka saavutetaan käyttämällä SSL-varmennetta.

kuten edellisessä artikkelissa mainittiin, SSL-sertifikaatit itse tulevat monissa muodoissa, DIY-ponnisteluista käyttäen OpenSSL: ää (voit jopa olla oma varmenneviranomainen) ja vapaista Let ’s Encrypt: stä ostettuihin ratkaisuihin’ tunnistetuilta ’ varmenneviranomaisilta. Mikään ei tee mitään muuta kuin vahvistaa verkkotunnuksen omistuksen, ja muuta kuin vahvistaa salauksen, eivät vahvista kyseisen sivuston turvallisuuskäytäntöjä millään tavalla. Se ei vahvista, että sivuston omistaja on Järjestelmänvalvoja pääsy palvelimelle ja on vahvistanut hänen/hänen henkilöllisyytensä tavalla, joka vaihtelee valitun SSL cert.

havainnollistetaan, mitä toimenpiteitä käyttäjien tulisi tehdä päättäessään, luottavatko he verkkosivustoon, ja joissakin tapauksissa, kuinka helppoa verkkorikollisten on kiertää niin sanottuja todentamisprosesseja.

Phishlabsin mukaan vuoden 2019 viimeisellä neljänneksellä 74% ilmoitetuista tietojenkalastelusivustoista oli ”turvallisia”, sillä ne olivat sekä HTTPS-että lukitussymbolilla varustettuja. Voisin lopettaa tämän viran tähän, todistettuani, että molemmat kriteerit ovat turvallisuuden kannalta arvottomia. Mutta en…

HTTPS ei tarkoita mitään

HTTPS: n ainoa etu on se, että se enemmän tai vähemmän pakottaa salatut yhteydet verkkoon, sillä ilman sitä monet selaimet kieltäytyvät pääsemästä sivustolle ja näyttävät varoituksen. Jos käyttäjä haluaa edelleen muodostaa yhteyden ”turvattomalle sivustolle”, se on mahdollista, mutta varoitus annetaan, mikä estää useimpia käyttäjiä. Valitettavasti verkkorikolliset eivät ole tyhmiä, joten useimmat käyttävät SSL-salausta, kuten aiemmin mainittiin. Onneksi olkoon, sinulla on nyt suora salattu yhteys verkkorikollisen verkkosivustoon, joka on suunniteltu erityisesti tietojenkalasteluhyökkäyksiin, haittaohjelmien toimittamiseen tai muihin motivaatioihin, kuten tietojen keräämiseen.

verkkotunnuksiin ei voi luottaa

kuka tahansa voi perustaa verkkosivuston, jonka ylläpitokustannukset vaihtelevat ilmaisista (laillisista tai hakkeroiduista aliverkkotunnuksista) ja budjetista dedikoituihin palvelimiin. Jotkut verkkotunnukset luotetaan enemmän kuin toiset, mutta kuten Brian Krebs osoitti (kyllä, olen säännöllinen lukija) jälleen, jopa .Gov verkkotunnukset (varattu valtion organisaatioille Yhdysvalloissa.) voidaan helposti huijata, kun verkkotunnusta huijauksille etsivät ovat valmiita käyttämään laittomia menetelmiä. Tutkimuksen taso oli minimaalinen. Oletan, että .mil-ja. edu-verkkotunnukset ovat vankempia, mutta kuka tietää, eikö? Yksi omista verkkotunnuksista käyttää .com.hk ja on saatavilla vain Hongkongiin rekisteröidyille yrityksille. Se oli tuskaa perustaa-vaativat useita sähköposteja, kopiot minun yritysrekisteritodistus, yrityksen pankkitili, passi, ja residenssi tiedot. Mutta ainakin tiedän, että prosessi on hyvä, ja siihen liittyy ristiintarkastus useiden ministeriöiden kanssa. Sama ei päde .comiin ja muihin ylätason verkkotunnuksiin sijainnista riippumatta. Jos joku voi saada sellaisen, miten se voi lisätä luottamusta verkkosivustoon?

Whois-varmennus on useimmiten arvoton

roskapostin estämiseksi useimmat sivustot piilottavat verkkosivujen yhteystietoja tai parhaimmillaan tarjoavat vain yleisiä yhteystietoja. Myös, hosting-palveluntarjoaja voi sijaita missä tahansa ja harvoin heijastaa fyysistä sijaintia liiketoiminnan.

Due Diligence on aina tarpeen

kuten aiemmissa artikkeleissa mainittiin, omistan ja ylläpidän muutamia vähäliikenteisiä verkkosivuja. Menin ilmainen Let ’ s salaa SSL certs (kohteliaisuus minun hosting-palveluntarjoaja) mukavuussyistä. Minulla ei ole tällä hetkellä sähköistä kaupankäyntiä käytössä ja käytän maksuportteja ja suoramaksua yrityksen tileille ensisijaisina maksuvaihtoehtoina. Siksi minulla ei ole PCI-DSS vaatimuksia, jättäen muut käsittelemään sitä painajaista.

kuitenkin, useiden asetusten (mukaan lukien GDPR) mukaisesti, jokaisella sivustolla on yksityiskohtainen tietosuoja-ja evästekäytäntö, jossa kerrotaan tarkalleen, mitä tietoja verkkosivuston kävijöiltä kerätään. Tiedän, että sivustoni noudattavat alan parhaita käytäntöjä, päivitetään nopeasti tietoturvapäivityksillä ja niin edelleen. Miten varmistan, että vierailemani sivustot ovat yhtä turvallisia ja luotettavia? Mikä vielä tärkeämpää, mitkä ovat riskit?

riskit, jotka liittyvät HTTPS: n käyttämiseen ensisijaisena osoituksena tietoturvasta

verkkorikolliset käyttävät HTTPS: tä suurimmaksi osaksi, ja itse verkkosivustot liittyvät usein tietojenkalasteluun tai haittaohjelmakampanjoihin. Voit saapua sinne sähköpostilinkki, seurauksena hakukoneen kyselyn tai lähete toiselta sivustolta. Kyllä, he ovat tietoisia SEO samoin. Asia on, tietenkin, he omistavat sivustot, jotta he voivat asentaa mitä tahansa he haluavat, jotta heidän tavoitteensa onnistuvat.

ilmainen lataus voi aiheuttaa tuhoa järjestelmässäsi tai käynnistää keylogging-työkalut, napsauttamalla linkkiä voi käynnistää ohjelman tai muokata rekisteriä taustalla, koska ilmoitusikkunoita usein tietoisesti vältetään. Klikkaamalla mitään näillä sivustoilla voi aiheuttaa ongelmia. Itse asiassa, jopa lataaminen web-sivun voisi tehdä niin, koska on olemassa monia plugins käytettävissä sato kävijätietojen kun ne yhteyden sivustoon. Jos käyttöjärjestelmässäsi tai verkkoselaimessasi on haavoittuvuus (jopa alkeelliset kävijäseurantatyökalut voivat saada selaimen ja käyttöjärjestelmän tiedot), olet avoin hyökkäykselle. Heillä on IP-osoite (ellet käytä VPN) käynnistää asianmukaisen hakkerointi työkalu.

joitakin vinkkejä ja varoitusmerkkejä verkossa suojautumiseen

seuraavat (ei tyhjentävä luettelo) vinkit vähentävät riskiä verkkoselailun aikana:

selainten, käyttöjärjestelmän ja ohjelmiston tietoturvapäivitykset ja-korjaukset

asenna ne nopeasti, sillä hakkerit ja tunkeutumistestaajat pääsevät käsiksi julkisesti saatavilla oleviin tietoihin uusimmista haavoittuvuuksista ja voivat käyttää työkaluja tiettyjen haavoittuvuuksien etsimiseen.

käytä suojattuja selaimia (sisäänrakennetuilla suojausvaihtoehdoilla)

valinta on henkilökohtainen mieltymys. Käytän viittä tai kuutta eri selainta, mukaan lukien Brave, Firefox ja Tor.

käytä selaamisen suojaamiseen lisiä ja laajennuksia

verkkoselaimen tietoturvan lisääminen on hyvä idea. Kaikki Electronic Frontier Foundationilta on arvokas lisä, kuten myös Duckduckgon Privacy Essentials.

VPN

käytä VPN: ää piilottaaksesi todellisen IP-osoitteesi ja kierrättääksesi sitä noin 30 minuutin välein. Vapaatkin piilottavat sinut kyberrikollisilta. Tee valintasi viisaasti, sillä jotkin VPN: t keräävät vain tietoja markkinoijille ja joutuvat itse myöhemmin hakkereiden kohteeksi. Käytän kaupallista ratkaisua.

SEO

SEO Quaken kaltaisen työkalun käyttäminen voi antaa joitakin vihjeitä verkkosivuston oikeutuksesta, kuten iän, ulkoisten ja sisäisten linkkien määrän ja paljon muuta.

verkkosivuilta

epäilyttäviltä verkkosivuilta puuttuvat usein perusasiat. Englanti voi olla heikkoa. Se voi puuttua mitään todellista tietoa sivuston omistaja, kuten yhteystiedot. Se ei yleensä vaadi yksityisyyttä ja evästekäytäntösivuja. Se voi työntää Bitcoinia tai muita digitaalisia valuuttoja ensisijaisina maksutavoina. Useimmissa tapauksissa, se vain tuntuu ”pois” tai tarjota jotain hinnoittelu liian uskomatonta olla totta. Nykyisessä ilmastossa COVID-19-huijaukset ovat yleisiä, joten ole varovainen.

Conclusion

in conclusion, kun vierailet uusilla verkkosivuilla, älä luota lukkosymboliin tai HTTPS: ään. Ota tämä sivusto ja mieti, miksi olet täällä. Progress on tunnettu brändi, jolla on maailmanlaajuinen ulottuvuus. Suurin osa meistä pitäytyy vakiintuneissa brändeissä, mutta haku voi johtaa uuden tuotteen tai palveluntarjoajan luo. Tee due diligence ennen oston tekemistä tai edes uuden sivuston tutkimista. Etsi verkkotunnus lainausmerkeissä ja lisää ’arvostelu’ tai ’huijaus’ todentamisen tueksi (pitäen mielessä, että väärennetyt arvostelut ja niihin liittyvät sivustot ovat myös mahdollisia). Kyllä huijarit ajattelevat kaikkea. Onnea …

Vastaa

Sähköpostiosoitettasi ei julkaista.