online shoppers worden vaak aangemoedigd om ervoor te zorgen dat hun gekozen online winkels ‘veilig’ zijn, dat de ‘s’ in HTTPS zichtbaar is en dat de webbrowser een vergrendelsymbool toont. Het verspreiden van deze zichtbare indicatoren als bevestiging van de beveiliging van de website is niet alleen onverantwoordelijk; het is ook gevaarlijk.
zoals Brian Krebs onlangs wees op Krebs over veiligheid, zelfs de VS. overheids-en federale websites maken zich schuldig aan deze praktijk, alsof het hangslot de officiële en veilige aard van de site garandeert. Dat is niet het geval. Het slotsymbool en de bijbehorende URL met ‘https’ betekenen simpelweg dat de verbinding tussen uw webbrowser en de websiteserver versleuteld is. Dat is goed, toch? Ja, een versleutelde verbinding is positief, althans op het eerste gezicht, en impliceert een verhoogd niveau van vertrouwen dat zogenaamd wordt bereikt door het gebruik van een SSL-certificaat.
zoals besproken in een vorig artikel, SSL certs zelf komen in vele vormen, van Doe-het-zelf inspanningen met behulp van OpenSSL (u kunt zelfs uw eigen certificaat autoriteit) en gratis degenen van Let ’s Encrypt tot gekochte oplossingen van’ Erkende ‘ certificaat autoriteiten. Niemand doet iets meer dan bevestigen eigendom van een domein, en anders dan het bevestigen van encryptie, niet bevestigen van de beveiligingspraktijken van die website op enigerlei wijze. Het bevestigt wel dat de eigenaar van de website admin toegang heeft tot de webserver en zijn/haar identiteit heeft geverifieerd op een manier die varieert afhankelijk van het geselecteerde SSL-cert.
laten we illustreren welke stappen gebruikers moeten nemen om te beslissen of ze een website Vertrouwen en, in sommige gevallen, hoe gemakkelijk het is voor cybercriminelen om zogenaamde verificatieprocessen te omzeilen.
volgens PhishLabs was in het laatste kwartaal van 2019 74% van de gerapporteerde phishing-websites ‘veilig’, zowel HTTPS als met het slotsymbool. Ik zou kunnen eindigen deze post hier, hebben bewezen dat beide criteria zijn waardeloos in termen van veiligheid. Maar ik zal niet…
HTTPS betekent niets
het enige voordeel van HTTPS is dat het meer of minder versleutelde verbindingen online forceert omdat, zonder dat, veel browsers zullen weigeren om toegang te krijgen tot de site en een waarschuwing weer te geven. Als de gebruiker nog steeds verbinding wil maken met de’ onveilige site’, is het mogelijk, maar de waarschuwing wordt gegeven, wat de meeste gebruikers zal afschrikken. Helaas, cybercriminelen zijn niet dom dus de meeste SSL-encryptie gebruiken, zoals eerder vermeld. Gefeliciteerd, je hebt nu een directe versleutelde verbinding met de website van een cybercrimineel, een die speciaal is ontworpen voor phishing-aanvallen, malware levering, of andere motivaties zoals data harvesting.
domeinen kunnen niet worden vertrouwd
iedereen kan een website opzetten met hostingkosten variërend van gratis (legitieme of gehackte subdomeinen) en budget tot dedicated servers. Sommige domeinen worden meer vertrouwd dan andere, maar zoals Brian Krebs aangetoond (Ja, ik ben een regelmatige lezer) nogmaals, zelfs .gov domeinen (gereserveerd voor overheidsorganisaties in de VS) kan gemakkelijk worden vervalst wanneer degenen die op zoek zijn naar het domein voor oplichting bereid zijn om illegale methoden te gebruiken. Het vereiste onderzoeksniveau was minimaal. Ik neem aan dat .mil en .edu domeinen robuuster zijn, maar wie weet, toch? Een van mijn eigen domeinen gebruikt .com.hk en is alleen beschikbaar voor in HongKong Geregistreerde bedrijven. Het was een pijn op te zetten-die verschillende e-mails, kopieën van mijn bedrijfsregistratie cert, bedrijf bankrekening, mijn paspoort, en residency details. Maar ik weet in ieder geval dat het een goed proces is, waarbij een cross-check met verschillende ministeries wordt uitgevoerd. Hetzelfde geldt niet voor.com en andere topniveaudomeinen, ongeacht de locatie. Als iemand er een kan krijgen, hoe kan het dan vertrouwen toevoegen aan een website?
Whois-verificatie Is meestal waardeloos
om spam te voorkomen, verbergen de meeste websites contactinformatie op de website of bieden in het beste geval alleen algemene contacten. Ook, de hosting provider kan overal worden gevestigd en zelden weerspiegelt de fysieke locatie van het bedrijf.
Due Diligence Is altijd noodzakelijk
zoals vermeld in eerdere artikelen, bezit en onderhoud ik een paar websites met weinig verkeer. Ik ging met gratis Let ‘ s Encrypt SSL certs (met dank aan mijn hosting provider) voor het gemak. Ik heb momenteel geen e-commerce en gebruik betalingsgateways en directe deponering op bedrijfsrekeningen als voorkeursbetalingsopties. Daarom heb ik geen PCI-DSS vereisten, zodat anderen die nachtmerrie kunnen afhandelen.
echter, in overeenstemming met verschillende regelgeving (waaronder GDPR), elke site heeft een gedetailleerd privacy-en Cookiebeleid dat precies aangeeft welke informatie wordt verzameld van bezoekers van de website. Ik weet dat mijn sites volgen de industrie best practices, worden onmiddellijk bijgewerkt met security patches, en ga zo maar door. Hoe zorg ik ervoor dat de sites die ik bezoek even veilig en betrouwbaar zijn? Nog belangrijker, wat zijn de risico ‘ s?
de risico ‘ s van een beroep op HTTPS als een primaire indicatie van veiligheid
cybercriminelen gebruiken HTTPS voor het grootste deel, en de websites zelf zijn vaak gekoppeld aan phishing-of malwarecampagnes. U kunt er aankomen via een e-maillink, als gevolg van een zoekmachine query of verwijzing van een andere site. Ja, ze zijn zich bewust van SEO ook. Het ding is, natuurlijk, ze bezitten de websites, zodat ze alles wat ze willen om hun doelstellingen te laten slagen kunnen installeren.
een gratis download kan schade aanrichten op uw systeem of keylogging tools starten, klikken op een link kan een programma starten of het register op de achtergrond bewerken omdat meldingsvensters vaak opzettelijk worden vermeden. Klikken op iets op deze sites kan problemen veroorzaken. In feite, zelfs het laden van een webpagina zou dit kunnen doen, omdat er veel plugins beschikbaar zijn om bezoekersgegevens te oogsten zodra ze verbinding maken met de site. Als uw besturingssysteem of webbrowser een kwetsbaarheid heeft (zelfs basic visitor tracking tools kunnen browser-en OS-specificaties verkrijgen), dan staat u open voor een aanval. Zij zullen uw IP-adres hebben (tenzij u een VPN gebruikt) om de juiste hacking tool te starten.
enkele Tips en waarschuwingssignalen om uzelf Online te beschermen
de volgende (niet uitputtende lijst) tips verminderen het risico tijdens het surfen op het web:
beveiligingsupdates en Patches voor Browsers, besturingssystemen en Software
installeer ze onmiddellijk omdat hackers en penetratietesters toegang hebben tot publiek beschikbare gegevens over de nieuwste kwetsbaarheden en tools kunnen gebruiken om te scannen naar specifieke kwetsbaarheden.
gebruik Beveiligde Browsers (met ingebouwde beveiligingsopties)
uw selectie is een persoonlijke voorkeur. Ik gebruik vijf of zes verschillende browsers, waaronder Brave, Firefox en Tor.
gebruik Addons en extensies Om browsen te beschermen
toevoegen aan de beveiliging van uw webbrowser is een goed idee. Alles van de Electronic Frontier Foundation is een waardige aanvulling, net als DuckDuckGo ‘ s Privacy Essentials.
VPN
gebruik een VPN om uw werkelijke IP-adres te verbergen en het elke 30 minuten of zo te doorlopen. Zelfs gratis zal je verbergen voor cybercriminelen. Maak je keuze verstandig, want sommige VPN ‘ s oogsten alleen gegevens voor marketeers en worden later zelf het doelwit van hackers. Ik gebruik een commerciële oplossing.
SEO
het gebruik van een tool zoals SEO Quake kan een aantal aanwijzingen geven over de legitimiteit van een website, waaronder de leeftijd, het aantal externe en interne links, en nog veel meer.
de website
verdachte websites missen vaak de basis. Engels kan zwak zijn. Het kan ontbreken echte informatie op de website eigenaar, zoals contactgegevens. Het zal meestal geen privacy-en cookiebeleid pagina ‘ s vereisen. Het kan duwen BitCoin of andere digitale valuta ‘ s als voorkeur betaalmethoden. In de meeste gevallen, het zal gewoon voelen ‘off’ of bieden iets voor de prijsstelling te ongelooflijk om waar te zijn. In het huidige klimaat, covid-19 oplichting zijn gebruikelijk, dus wees voorzichtig.
conclusie
concluderend, wanneer u nieuwe websites bezoekt, vertrouw dan niet op het slotsymbool of HTTPS. Neem deze site en overweeg waarom je hier bent. Progress is een bekend merk met een wereldwijd bereik. De meesten van ons vasthouden aan gevestigde merken, maar een zoekopdracht kan leiden tot een nieuw product of service provider. Doe uw due diligence voordat u een aankoop of zelfs het verkennen van een nieuwe site. Zoek naar de domeinnaam tussen quotes en voeg ‘review’ of ‘scam’ om verificatie te helpen (rekening houdend met het feit dat valse beoordelingen en gerelateerde sites zijn ook mogelijk). Ja, oplichters denken aan alles. Veel succes …