internett-kunder oppfordres ofte til å sikre at deres valgte nettbutikker er ‘sikre’, at’ s ‘ I HTTPS er synlig, og at nettleseren viser et låssymbol. Å spre disse synlige indikatorene som bekreftelse på nettstedssikkerhet er ikke bare uansvarlig; det er også farlig.
Som Brian Krebs nylig påpekte På Krebs Om Sikkerhet, SELV USA regjeringen og Føderale nettsteder er skyldig i denne praksisen, som om hengelås garanterer offisielle og sikre natur nettstedet. Det er ikke tilfelle. Låsesymbolet og TILHØRENDE URL som inneholder ‘https’ betyr ganske enkelt at forbindelsen mellom nettleseren din og nettstedets server er kryptert. Det er bra, ikke sant? Ja, en kryptert tilkobling er positiv, i hvert fall på overflaten, og innebærer et forhøyet nivå av tillit som angivelig oppnås ved BRUK AV ET SSL-sertifikat.
SOM omtalt i en tidligere artikkel, KOMMER SSL-certs i mange former, FRA DIY-innsats ved Hjelp Av OpenSSL (du kan til OG med være din Egen Sertifikatmyndighet) og gratis Fra Let ‘S Encrypt til kjøpte løsninger fra’ anerkjente ‘ sertifikatmyndigheter. Ingen gjør noe mer enn å bekrefte eierskap av et domene, og annet enn å bekrefte kryptering, bekrefter ikke sikkerhetspraksis for det nettstedet på noen måte. Det bekrefter at nettstedets eier har admintilgang til webserveren og har bekreftet sin identitet på en måte som varierer i henhold TIL SSL-cert valgt.
la oss illustrere de nødvendige trinnene brukerne bør ta når de bestemmer seg for å stole på et nettsted, og i noen tilfeller hvor lett det er for nettkriminelle å omgå såkalte verifikasjonsprosesser.
Ifølge PhishLabs, i siste kvartal av 2019, var 74% av rapporterte phishing-nettsteder ‘sikre’, både HTTPS og med låsesymbolet. Jeg kunne avslutte dette innlegget her, etter å ha bevist at begge kriteriene er verdiløse når det gjelder sikkerhet. MEN jeg vil ikke…
HTTPS Betyr Ingenting
DEN eneste fordelen MED HTTPS er at DEN mer eller mindre tvinger krypterte tilkoblinger på nettet som, uten det, vil mange nettlesere nekte å få tilgang til nettstedet og vise en advarsel. Hvis brukeren fortsatt vil koble til det usikre nettstedet, er det mulig, men advarselen er gitt, noe som vil avskrekke de fleste brukere. Dessverre er cyberkriminelle ikke dumme, så de fleste vil bruke SSL-kryptering, som nevnt tidligere. Gratulerer, du har nå en direkte kryptert tilkobling til en nettkriminell nettside, en som er spesielt utviklet for phishing-angrep, malware levering eller andre motivasjoner som datahøsting.
Domener Kan Ikke Stole På
Alle kan sette opp et nettsted med hostingkostnader som spenner fra gratis (enten legitime eller hackede underdomener) og budsjett til dedikerte servere. Noen domener er klarert mer enn andre, men Som Brian Krebs demonstrerte (ja, jeg er en vanlig leser) igjen, selv. gov domener (reservert for offentlige organisasjoner I USA) kan lett bli forfalsket når de som søker domenet for svindel er forberedt på å bruke ulovlige metoder. Nivået på forskning som kreves var minimal. Jeg antar at .mil og. edu domener er mer robuste, men hvem vet, ikke sant? En av mine egne domener bruker. com.hk Og er kun tilgjengelig For Hong Kong-registrerte selskaper. Det var en smerte å sette opp – krever flere e-poster, kopier av min virksomhet registrering cert, selskapets bankkonto, passet mitt, og bosted detaljer. Men I det minste vet jeg at prosessen er en god en, som involverer en kryssjekk med flere regjeringsavdelinger. Det samme gjelder ikke for .com og andre toppdomener, uavhengig av sted. Hvis noen kan få en, hvordan kan det legge tillit til et nettsted?
Whois Verifisering Er For Det Meste Verdiløs
for å forhindre spam, skjuler de fleste nettsteder nettsted kontaktinformasjon eller, i beste fall, bare generelle kontakter. Vertsleverandøren kan også være plassert hvor som helst og gjenspeiler sjelden den fysiske plasseringen av virksomheten.
Due Diligence Er Alltid Nødvendig
som nevnt i tidligere artikler eier og vedlikeholder jeg noen få nettsteder med lav trafikk. Jeg gikk med gratis La Oss Kryptere SSL certs (høflighet av min hosting leverandør) for enkelhets skyld. Jeg har ingen e-handel på plass i øyeblikket og bruke betaling gateways og direkte lodgment til firmakontoer som foretrukne betalingsmåter. Derfor har jeg ingen PCI-DSS-krav, og lar andre håndtere det marerittet.
men i samsvar med flere forskrifter (inkludert GDPR), har hvert nettsted en detaljert personvern-og informasjonskapselpolitikk som angir nøyaktig hvilken informasjon som samles inn fra besøkende på nettstedet. Jeg vet at nettstedene mine følger bransjens beste praksis, oppdateres raskt med sikkerhetsoppdateringer og så videre. Hvordan sikrer jeg at nettstedene jeg besøker er like sikre og pålitelige? Enda viktigere, hva er risikoen?
RISIKOEN Ved Å Stole PÅ HTTPS Som En Primær Indikasjon På Sikkerhet
Nettkriminelle bruker HTTPS for det meste, og nettstedene selv er ofte knyttet til phishing eller malware kampanjer. Du kan komme dit fra en e-postlink, som et resultat av en søkemotor spørring eller henvisning fra et annet nettsted. JA, DE er klar OVER SEO også. Saken er, selvfølgelig, de eier nettsteder slik at de kan installere noe de ønsker å gjøre sine mål lykkes.
en gratis nedlasting kan skape kaos på systemet eller starte keylogging verktøy, klikke på en kobling kan starte et program eller redigere registeret i bakgrunnen som varslingsvinduer er ofte bevisst unngås. Klikke noe på disse nettstedene kan føre til problemer. Faktisk kan selv lasting av en nettside gjøre det, da det er mange plugins tilgjengelig for å høste besøksdata når de kobler seg til nettstedet. HVIS OPERATIVSYSTEMET eller nettleseren din har en sårbarhet (selv grunnleggende sporingsverktøy for besøkende kan få nettleser-og OS-detaljer), så er du åpen for et angrep. DE vil ha DIN IP-adresse (med mindre DU bruker EN VPN) for å starte riktig hackingsverktøy.
Noen Tips Og Faresignaler For Å Beskytte Deg Selv På Nettet
følgende (ikke en uttømmende liste) tips vil redusere risikoen mens du surfer:
Sikkerhetsoppdateringer Og Oppdateringer For Nettlesere, OS Og Programvare
Installer dem raskt, da hackere og penetrasjonstestere både har tilgang til offentlig tilgjengelige data om de nyeste sårbarhetene og kan bruke verktøy til å skanne etter bestemte.
Bruk Sikre Nettlesere (med innebygde sikkerhetsalternativer)
valget ditt er en personlig preferanse. Jeg bruker fem eller seks forskjellige nettlesere, inkludert Brave, Firefox og Tor.
Bruk Tillegg Og Utvidelser For Å Beskytte Surfing
Å Legge til sikkerheten til Nettleseren din er en god ide. Alt Fra Electronic Frontier Foundation er et verdig tillegg, som Det Er Duckduckgo ‘ S Privacy Essentials.
VPN
Bruk ET VPN for å skjule DIN FAKTISKE IP-adresse og sykle den hvert 30. minutt eller så. Selv gratis de vil skjule deg fra nettkriminelle. Gjør ditt valg klokt som Noen Vpn bare høste data for markedsførere og er selv senere målrettet av hackere. Jeg bruker en kommersiell løsning.
SEO
Ved hjelp AV ET verktøy som SEO Quake kan gi noen ledetråder om legitimiteten til et nettsted, inkludert alder, antall eksterne og interne lenker, og mye mer.
Nettstedet
Mistenkte nettsteder mangler ofte det grunnleggende. Engelsk kan være svak. Det kan mangle noen reell info på nettstedet eieren, for eksempel kontaktinformasjon. Det vil vanligvis ikke kreve personvern og cookie policy sider. Det kan presse BitCoin eller andre digitale valutaer som foretrukne betalingsmetoder. I de fleste tilfeller, det vil bare føle ‘ off ‘ eller tilby noe for priser for utrolig å være sant. I dagens klima, COVID – 19 svindel er vanlig, så vær forsiktig.
Konklusjon
når du besøker nye nettsteder, må du ikke stole på låsesymbolet eller HTTPS. Ta dette nettstedet og vurdere hvorfor du er her. Progress er et velkjent merke med en global rekkevidde. De fleste av oss holder seg til etablerte merkevarer, men et søk kan føre deg til et nytt produkt eller en tjenesteleverandør. Gjør din due diligence før du kjøper eller utforsker et nytt nettsted. Søk etter domenenavnet i sitater og legg til ‘anmeldelse’ eller ‘svindel’ for å hjelpe verifisering(med tanke på at falske anmeldelser og relaterte nettsteder også er mulige). Ja, svindlere tenker på alt. Lykke til