オンライン買い物客は、選択したオンラインストアが”安全”であること、HTTPSの”s”が表示されていること、およびwebブラウザにロックシンボルが表示されていることを確認することをお勧めします。 ウェブサイトのセキュリティの確認としてこれらの目に見える指標を伝播することは無責任であるだけでなく、危険です。
Brian Krebsが最近Krebsについてセキュリティについて指摘したように、米国でさえ 政府と連邦のウェブサイトは、南京錠がサイトの公式かつ安全な性質を保証するかのように、この慣行の罪を犯しています。 それはそうではありません。 ロックシンボルと”https”を含む関連URLは、単にあなたのwebブラウザとウェブサイトサーバーとの間の接続が暗号化されていることを意味します。 それは良い、右ですか? はい、暗号化された接続は、少なくとも表面的には肯定的であり、SSL証明書の使用によって達成されたと思われる信頼レベルの上昇を意味します。
前の記事で説明したように、SSL証明書自体は、OpenSSLを使用したDIYの努力(あなた自身の認証局でもあります)や、Let’S Encryptから”認識された”認証局から購入されたソリ ドメインの所有権を確認する以外に何もしないし、暗号化を確認する以外に、そのウェブサイトのセキュリティ慣行をどのような方法でも確認しな Webサイトの所有者がwebサーバーへの管理者アクセス権を持ち、選択されたSSL証明書に応じて異なる方法で身元を確認したことを確認します。
ウェブサイトを信頼するかどうかを決定する際にユーザーが取るべき必要な手順と、サイバー犯罪者がいわゆる検証プロセスを回避するのがいかに簡単かを説明してみましょう。
PhishLabsによると、2019年の最後の四半期に報告されたフィッシングサイトの74%が「安全」であり、HTTPSとロックシンボルの両方であった。 私はこの投稿をここで終わらせることができ、両方の基準がセキュリティの面で無価値であることを証明しました。 しかし、私はしません…
HTTPSは何も意味しません
HTTPSの唯一の利点は、多くのブラウザがサイトへのアクセスを拒否し、警告を表示するため、暗号化された接 ユーザーがまだ”安全でないサイト”に接続したい場合は可能ですが、警告が表示され、ほとんどのユーザーを抑止します。 残念ながら、サイバー犯罪者はダムではないので、前述のようにほとんどがSSL暗号化を使用します。 これは、フィッシング攻撃、マルウェアの配信、またはデータハーベスティングなどのその他の動機のために特別に設計されています。
ドメインは信頼できません
誰もが無料(合法的またはハッキングされたサブドメインかどうか)と予算から専用サーバーに至るまでのホスティングコ いくつかのドメインは他のドメインよりも信頼されていますが、Brian Krebsが実証したように(はい、私は通常の読者です)、.govドメイン(米国の政府組織用に予約)詐欺のための範囲を追求するそれらが違法方法を使用するために準備されるとき容易になりすますことができる。 必要な研究のレベルは最小限でした。 私は.milと.eduドメインがより堅牢であると仮定していますが、誰が知っていますか? 私自身のドメインの一つが使用しています。com.hk そして香港登録されていた会社にだけ利用できます。 いくつかの電子メール、私のビジネス登録証明書のコピー、会社の銀行口座、私のパスポート、および居住の詳細を必要とする–それは設定するのが苦痛でした。 しかし、少なくとも私は、このプロセスがいくつかの政府部門とのクロスチェックを含む良いものであることを知っています。 場所に関係なく、.comやその他のトップレベルドメインにも同じことは当てはまりません。 誰かがそれを得ることができれば、どのようにしてウェブサイトに信頼を追加できますか?
Whois検証はほとんど無価値です
スパムを防ぐために、ほとんどのウェブサイトはウェブサイトの連絡先情報を隠すか、せいぜい一般的な連絡先 また、ホスティングプロバイダーはどこにでも配置することができ、ビジネスの物理的な場所を反映することはめったにありません。
デューデリジェンスは常に必要です
以前の記事で述べたように、私はいくつかの低トラフィックのウェブサイトを所有し、維持しています。 私は利便性のために無料のLET’s Encrypt SSL証明書(私のホスティングプロバイダの礼儀)を使って行きました。 私は現時点では電子商取引を行っておらず、優先支払いオプションとして支払いゲートウェイと会社口座への直接宿泊を使用しています。 したがって、私はPCI-DSSの要件を持っていないので、他の人はその悪夢を処理することができます。
ただし、いくつかの規制(GDPRを含む)に準拠して、各サイトには、ウェブサイトの訪問者から収集される情報を正確に記載した詳細なプライバシーとクッ 私は、自分のサイトが業界のベストプラクティスに従っていることを知っています,セキュリティパッチで速やかに更新されます, 訪問したサイトが同じように安全で信頼できるようにするにはどうすればよいですか? さらに重要なのは、リスクは何ですか?
セキュリティの主な指標としてHTTPSに依存するリスク
サイバー犯罪者はほとんどの部分でHTTPSを使用しており、ウェブサイト自体はフィッシングやマルウェアキャンペーンにリンクされていることが多い。 あなたは、別のサイトからの検索エンジンのクエリや紹介の結果として、電子メールのリンクからそこに到着することができます。 はい、彼らはSEOも認識しています。 事は、当然、彼らはウェブサイトを所有する従って目的を成功させるために望む何でも取付けてもいいである。
無料ダウンロードは、システムに大混乱をもたらしたり、キーログツールを起動したり、リンクをクリックすると、通知ウィンドウが意図的に回避されることが多いため、プログラムを起動したり、バックグラウンドでレジストリを編集したりする可能性があります。 これらのサイトで何かをクリックすると、問題が発生する可能性があります。 彼らはサイトに接続したら、訪問者のデータを収穫するために利用可能な多くのプラグインがあるように実際には、でも、webページをロードすることがで お使いのOSまたはwebブラウザに脆弱性がある場合(基本的な訪問者追跡ツールでもブラウザとOSの詳細を取得できます)、攻撃にさらされています。 彼らは適切なハッキングツールを起動するために(あなたがVPNを使用しない限り)あなたのIPアドレスを持っています。
オンラインで自分を守るためのヒントと警告サイン
以下の(網羅的なリストではない)ヒントは、webブラウジング中のリスクを軽減します:
ブラウザ、OS、ソフトウェアのセキュリティアップデートとパッチ
ハッカーや侵入テスターは、最新の脆弱性に関する公開されているデータにアクセスし、ツールを使用して特定の脆弱性をスキャンすることができるため、速やかにインストールしてください。
安全なブラウザを使用する(内蔵のセキュリティオプション付き)
あなたの選択は個人的な好みです。 私はBrave、Firefox、Torを含む五つまたは六つの異なるブラウザを使用しています。
アドオンと拡張機能を使用してブラウジングを保護
Webブラウザのセキュリティを追加することは良い考えです。 電子フロンティア財団からのものは、duckduckgoのプライバシーの必需品があるように、価値のある追加です。
VPN
VPNを使用して実際のIPアドレスを非表示にし、30分ごとにサイクルします。 無料のものでさえ、サイバー犯罪者からあなたを隠すでしょう。 一部のVpnは単にマーケティング担当者のためにデータを収集し、後でハッカーの標的にされるだけなので、賢明に選択してください。 私は商業的な解決策を使用しています。
SEO
SEO Quakeなどのツールを使用すると、年齢、外部リンクと内部リンクの数など、ウェブサイトの正当性に関する手がかりを提供できます。
ウェブサイト
容疑者のウェブサイトは、多くの場合、基本を欠いています。 英語は弱いかもしれません。 連絡先の詳細など、ウェブサイトの所有者に関する実際の情報が不足している可能性があります。 通常、プライバシーとクッキーのポリシーページは必要ありません。 BitCoinやその他のデジタル通貨を優先支払い方法としてプッシュすることがあります。 ほとんどの場合、それはちょうど’オフ’を感じるか、本当であるにはあまりにも信じられない価格設定のために何かを提供します。 現在の気候では、COVID-19詐欺が一般的なので、注意してください。
結論
結論として、新しいウェブサイトにアクセスするときは、ロックシンボルやHTTPSに依存しないでください。 このサイトを取り、あなたがここにいる理由を検討してくださ 進歩は全体的な範囲の有名なブランドです。 私たちのほとんどは、確立されたブランドに固執しますが、検索は、新製品やサービスプロバイダーにつながる可能性があります。 購入をするか、または新しい場所を探検する前にあなたのデューデリジェンスをしなさい。 引用符でドメイン名を検索し、検証を支援するために”レビュー”または”詐欺”を追加します(偽のレビューや関連サイトも可能であることを念頭に置いて)。 はい、詐欺師はすべてを考えています。