kupujący Online są często zachęcani do upewnienia się, że ich wybrane sklepy internetowe są „bezpieczne”, że ” s ” W HTTPS jest widoczne i że przeglądarka internetowa wyświetla symbol kłódki. Propagowanie tych widocznych wskaźników jako potwierdzenia bezpieczeństwa witryny jest nie tylko nieodpowiedzialne; jest również niebezpieczne.
jak ostatnio Brian Krebs zauważył na temat Krebsa o bezpieczeństwie, nawet U. S. strony rządowe i federalne są winne tej praktyki, tak jakby kłódka gwarantowała oficjalny i bezpieczny charakter strony. Nie o to chodzi. Symbol kłódki i powiązany adres URL zawierający „https” oznaczają po prostu, że połączenie między przeglądarką internetową a serwerem witryny jest szyfrowane. To dobrze, prawda? Tak, szyfrowane połączenie jest pozytywne, przynajmniej na pierwszy rzut oka, i oznacza podwyższony poziom zaufania, który rzekomo osiąga się dzięki użyciu certyfikatu SSL.
jak omówiono w poprzednim artykule, same certyfikaty SSL występują w wielu formach, od wysiłków majsterkowania przy użyciu OpenSSL (możesz być nawet własnym organem certyfikującym) i darmowych od Let 's Encrypt po zakupione rozwiązania od „uznanych” urzędów certyfikujących. Nikt nie robi nic poza potwierdzeniem własności domeny, a poza potwierdzeniem szyfrowania nie potwierdza w żaden sposób praktyk bezpieczeństwa tej witryny. Potwierdza to, że właściciel strony internetowej ma dostęp administratora do serwera i zweryfikował swoją tożsamość w sposób, który różni się w zależności od wybranego certyfikatu SSL.
zilustrujmy niezbędne kroki, które użytkownicy powinni podjąć przy podejmowaniu decyzji, czy zaufać stronie internetowej, a w niektórych przypadkach, jak łatwo jest cyberprzestępcom obejść tak zwane procesy weryfikacji.
według PhishLabs, w ostatnim kwartale 2019 r. 74% zgłoszonych witryn phishingowych było „bezpiecznych”, będących zarówno HTTPS, jak i symbolem kłódki. Mógłbym zakończyć ten post tutaj, dowiedziawszy się, że oba kryteria są bezwartościowe pod względem bezpieczeństwa.
HTTPS nic nie znaczy
jedyną zaletą HTTPS jest to, że mniej lub bardziej wymusza szyfrowane połączenia online, ponieważ bez niego wiele przeglądarek odmówi dostępu do witryny i wyświetli ostrzeżenie. Jeśli użytkownik nadal chce połączyć się z „niezabezpieczoną witryną”, jest to możliwe, ale podano Ostrzeżenie, które odstraszy większość użytkowników. Niestety, cyberprzestępcy nie są głupi, więc większość będzie używać szyfrowania SSL, Jak wspomniano wcześniej. Gratulacje, masz teraz bezpośrednie szyfrowane połączenie ze stroną internetową cyberprzestępcy, która jest specjalnie zaprojektowana do ataków phishingowych, dostarczania złośliwego oprogramowania lub innych motywacji, takich jak zbieranie danych.
domenom nie można ufać
każdy może skonfigurować stronę internetową z kosztami hostingu, od bezpłatnych (legalnych lub zhakowanych subdomen) i budżetu po serwery dedykowane. Niektóre domeny są bardziej zaufane niż inne, ale jak pokazał Brian Krebs (tak, jestem stałym czytelnikiem) po raz kolejny, nawet domeny .gov (zarezerwowane dla organizacji rządowych w USA) można łatwo sfałszować, gdy osoby poszukujące domeny pod kątem oszustw są przygotowane do użycia nielegalnych metod. Wymagany poziom badań był minimalny. Zakładam, że domeny. mil i. edu są solidniejsze, ale kto wie, prawda? Jedna z moich własnych domen używa .com.hk i jest dostępny tylko dla firm zarejestrowanych w Hongkongu. Konfiguracja była uciążliwa-wymagała kilku e-maili, kopii certyfikatu rejestracji firmy, konta bankowego firmy, mojego paszportu i danych rezydencji. Ale przynajmniej wiem, że jest to dobry proces, obejmujący kontrolę krzyżową z kilkoma departamentami rządowymi. To samo nie dotyczy .com i innych domen najwyższego poziomu, niezależnie od lokalizacji. Jeśli ktoś może go zdobyć, jak może dodać zaufanie do strony internetowej?
weryfikacja Whois jest w większości bezwartościowa
aby zapobiec spamowi, większość stron internetowych ukrywa informacje kontaktowe lub, w najlepszym przypadku, podaje tylko ogólne kontakty. Ponadto dostawca hostingu może znajdować się w dowolnym miejscu i rzadko odzwierciedla fizyczną lokalizację firmy.
Due Diligence jest zawsze konieczne
jak wspomniano w poprzednich artykułach, posiadam i utrzymuję kilka witryn o małym natężeniu ruchu. Poszedłem z darmowymi certyfikatami Let ’ s Encrypt SSL (dzięki uprzejmości mojego dostawcy hostingu) dla wygody. W tej chwili nie mam e-commerce i korzystam z bramek płatności i bezpośredniego wpłaty na konta firmowe jako preferowanych opcji płatności. Dlatego nie mam wymagań PCI-DSS, pozostawiając innym poradzenie sobie z tym koszmarem.
jednak zgodnie z kilkoma przepisami (w tym RODO) każda witryna ma szczegółową politykę prywatności i plików cookie, która dokładnie określa, jakie informacje są zbierane od odwiedzających witrynę. Wiem, że moje witryny przestrzegają najlepszych praktyk branżowych, są natychmiast aktualizowane o poprawki zabezpieczeń i tak dalej. W jaki sposób mogę zapewnić, że odwiedzane strony są równie bezpieczne i godne zaufania? Co ważniejsze, jakie jest ryzyko?
ryzyko polegania na HTTPS jako podstawowym wskaźniku bezpieczeństwa
cyberprzestępcy w większości używają HTTPS, a same strony internetowe są często powiązane z kampaniami phishingowymi lub złośliwym oprogramowaniem. Możesz tam dotrzeć z linku e-mail, w wyniku zapytania w wyszukiwarce lub skierowania z innej strony. Tak, są świadomi również SEO. Rzecz w tym, że są właścicielami stron internetowych, dzięki czemu mogą instalować wszystko, co chcą, aby ich cele odniosły sukces.
bezpłatne pobieranie może siać spustoszenie w systemie lub uruchamiać narzędzia do rejestrowania kluczy, kliknięcie linku może uruchomić program lub edytować rejestr w tle, ponieważ okna powiadomień są często celowo unikane. Kliknięcie czegokolwiek na tych stronach może spowodować problemy. W rzeczywistości nawet ładowanie strony internetowej może to zrobić, ponieważ dostępnych jest wiele wtyczek do zbierania danych odwiedzających po połączeniu się z witryną. Jeśli Twój system operacyjny lub przeglądarka internetowa ma lukę w zabezpieczeniach (nawet podstawowe narzędzia do śledzenia odwiedzających mogą uzyskać specyfikację przeglądarki i systemu operacyjnego), jesteś otwarty na atak. Będą mieli Twój adres IP (chyba że użyjesz VPN), aby uruchomić odpowiednie narzędzie hakerskie.
kilka wskazówek i znaków ostrzegawczych, aby chronić się w Internecie
poniższe (nie wyczerpująca lista) wskazówki zmniejszą ryzyko podczas przeglądania stron internetowych:
aktualizacje zabezpieczeń i poprawki dla przeglądarek, systemów operacyjnych i oprogramowania
zainstaluj je natychmiast, ponieważ zarówno hakerzy, jak i testerzy penetracji mają dostęp do publicznie dostępnych danych o najnowszych lukach i mogą korzystać z narzędzi do skanowania w poszukiwaniu konkretnych luk.
używaj bezpiecznych przeglądarek (z wbudowanymi opcjami zabezpieczeń)
twój wybór jest osobistą preferencją. Używam pięciu lub sześciu różnych przeglądarek, w tym Brave, Firefox i Tor.
użyj dodatków i rozszerzeń, aby chronić przeglądanie
dodanie bezpieczeństwa przeglądarki internetowej jest dobrym pomysłem. Wszystko z Electronic Frontier Foundation jest godnym dodatkiem, podobnie jak podstawowe elementy Prywatności DuckDuckGo.
VPN
użyj VPN, aby ukryć swój rzeczywisty adres IP i przełączać go co około 30 minut. Nawet darmowe ukryją Cię przed cyberprzestępcami. Dokonaj wyboru mądrze, ponieważ niektóre sieci VPN tylko zbierają dane dla marketerów, a same są później atakowane przez hakerów. Używam komercyjnego rozwiązania.
SEO
Korzystanie z narzędzia takiego jak SEO Quake może dostarczyć pewnych wskazówek dotyczących zasadności strony internetowej, w tym wieku, liczby linków zewnętrznych i wewnętrznych i wiele więcej.
strona internetowa
często brakuje podstaw. Angielski może być słaby. Może brakować prawdziwych informacji o właścicielu strony, takich jak dane kontaktowe. Zazwyczaj nie wymaga stron Polityki Prywatności i plików cookie. Może naciskać BitCoin lub inne waluty cyfrowe jako preferowane metody płatności. W większości przypadków będzie to po prostu „wyłączone” lub zaoferuje coś za cenę zbyt niewiarygodną, aby mogło być prawdziwe. W obecnym klimacie oszustwa COVID-19 są powszechne, więc bądź ostrożny.
podsumowanie
podsumowując, gdy odwiedzasz nowe strony internetowe, nie polegaj na symbolu kłódki lub HTTPS. Weź tę stronę i zastanów się, dlaczego tu jesteś. Progress to znana marka o globalnym zasięgu. Większość z nas trzyma się znanych marek, ale wyszukiwanie może doprowadzić do nowego produktu lub dostawcy usług. Wykonaj należytą staranność przed dokonaniem zakupu lub nawet eksploracją nowej witryny. Wyszukaj nazwę domeny w cudzysłowie i Dodaj „recenzję” lub „oszustwo”, aby pomóc w weryfikacji (pamiętając, że fałszywe recenzje i powiązane witryny są również możliwe). Tak, oszuści myślą o wszystkim. Powodzenia …