cumpărătorii Online sunt adesea încurajați să se asigure că magazinele online alese sunt ‘sigure’, că ‘s’ în HTTPS este vizibil și că browserul web afișează un simbol de blocare. Propagarea acestor indicatori vizibili ca confirmare a securității site-ului web nu este doar iresponsabilă; este, de asemenea, periculoasă.
după cum a subliniat recent Brian Krebs despre Krebs privind securitatea, chiar și SUA. site-urile guvernamentale și federale sunt vinovate de această practică, ca și cum lacătul garantează natura oficială și sigură a site-ului. Nu este cazul. Simbolul de blocare și adresa URL aferentă care conține ‘https’ înseamnă pur și simplu că conexiunea dintre browserul dvs. web și serverul Site-ului web este criptată. Asta e bine, nu? Da, o conexiune criptată este pozitivă, cel puțin la suprafață, și implică un nivel ridicat de încredere care se presupune că este atins prin utilizarea unui certificat SSL.
așa cum s-a discutat într-un articol anterior, certificatele SSL în sine vin în multe forme, de la eforturile DIY folosind OpenSSL (puteți fi chiar propria dvs. autoritate de certificare) și cele gratuite de la Let ‘s Encrypt la soluțiile achiziționate de la autoritățile de certificare recunoscute. Nimeni nu face altceva decât să confirme proprietatea asupra unui domeniu și, în afară de confirmarea criptării, nu confirmă în niciun fel practicile de securitate ale acelui site web. Aceasta confirmă faptul că proprietarul site-ului web are acces de administrator la serverul web și și-a verificat identitatea într-un mod care variază în funcție de CERT SSL selectat.
să ilustrăm pașii necesari pe care utilizatorii ar trebui să îi ia atunci când decid dacă să aibă încredere într-un site web și, în unele cazuri, cât de ușor este pentru infractorii cibernetici să eludeze așa-numitele procese de verificare.
potrivit PhishLabs, în ultimul trimestru al anului 2019, 74% dintre site-urile de phishing raportate erau ‘sigure’, fiind atât HTTPS, cât și cu simbolul de blocare. Aș putea încheia acest post chiar aici, dovedind că ambele criterii sunt lipsite de valoare în ceea ce privește securitatea. Dar nu voi…
HTTPS nu înseamnă nimic
singurul beneficiu al HTTPS este că forțează mai mult sau mai puțin conexiunile criptate online, deoarece, fără acesta, multe browsere vor refuza să acceseze site-ul și să afișeze un avertisment. Dacă utilizatorul dorește în continuare să se conecteze la site-ul nesigur, este posibil, dar avertismentul este dat, ceea ce va descuraja majoritatea utilizatorilor. Din păcate, infractorii cibernetici nu sunt proști, așa că majoritatea vor folosi criptarea SSL, așa cum am menționat anterior. Felicitări, acum aveți o conexiune criptată directă la site-ul web al unui infractor cibernetic, unul special conceput pentru atacuri de phishing, livrare de malware sau alte motivații, cum ar fi recoltarea datelor.
domeniile nu pot fi de încredere
oricine poate configura un site web cu costuri de găzduire variind de la gratuit (fie subdomenii legitime sau hacked) și buget pentru servere dedicate. Unele domenii sunt de încredere mai mult decât altele, dar așa cum a demonstrat Brian Krebs (Da, Sunt un cititor obișnuit) încă o dată, chiar și domeniile .gov (rezervate organizațiilor guvernamentale din SUA.) poate fi ușor falsificat atunci când cei care caută domeniul pentru escrocherii sunt pregătiți să utilizeze metode ilegale. Nivelul de cercetare necesar a fost minim. Presupun că domeniile. mil și. edu sunt mai robuste, dar cine știe, nu? Unul dintre domeniile mele folosește .com.hk și este disponibil numai pentru companiile înregistrate în Hong Kong. A fost o durere să înființez-necesitând mai multe e-mailuri, copii ale cert-ului meu de înregistrare a afacerii, contul bancar al companiei, pașaportul și detaliile de rezidență. Dar cel puțin știu că procesul este unul bun, care implică o verificare încrucișată cu mai multe departamente guvernamentale. Același lucru nu este valabil și pentru .com și alte domenii de nivel superior, indiferent de locație. Dacă cineva poate obține unul, cum poate adăuga încredere unui site web?
verificarea Whois este în mare parte lipsită de valoare
pentru a preveni spamul, majoritatea site-urilor web ascund informațiile de contact ale site-ului sau, în cel mai bun caz, oferă doar contacte generale. De asemenea, furnizorul de găzduire poate fi localizat oriunde și rareori reflectă locația fizică a afacerii.
due Diligence este întotdeauna necesar
după cum sa menționat în articolele anterioare, dețin și mențin câteva site-uri web cu trafic redus. M-am dus cu gratuit să cripteze SSL certs (curtoazie de furnizorul meu de hosting) pentru comoditate. Nu am niciun comerț electronic în acest moment și folosesc gateway-uri de plată și depunere directă în conturile companiei ca opțiuni de plată preferate. Prin urmare, nu am cerințe PCI-DSS, lăsând pe alții să se ocupe de acel coșmar.
cu toate acestea, în conformitate cu mai multe reglementări (inclusiv GDPR), fiecare site are o politică detaliată de confidențialitate și cookie-uri care precizează exact ce informații sunt colectate de la vizitatorii site-ului. Știu că site-urile mele respectă cele mai bune practici din industrie, sunt actualizate prompt cu patch-uri de securitate și așa mai departe. Cum mă asigur că site-urile pe care le vizitez sunt la fel de sigure și de încredere? Și mai important, care sunt riscurile?
riscurile de a se baza pe HTTPS ca indicație principală a securității
infractorii cibernetici folosesc HTTPS în cea mai mare parte, iar site-urile web în sine sunt adesea legate de campanii de phishing sau malware. Puteți ajunge acolo dintr-un link de e-mail, ca urmare a unei interogări a motorului de căutare sau a unei recomandări de pe un alt site. Da, sunt conștienți și de SEO. Lucrul este, desigur, că dețin site-urile web, astfel încât să poată instala orice doresc pentru ca obiectivele lor să reușească.
o descărcare gratuită ar putea face ravagii în sistemul dvs. sau ar putea lansa instrumente de keylogging, făcând clic pe un link ar putea lansa un program sau edita registrul în fundal, deoarece ferestrele de notificare sunt adesea evitate în mod deliberat. Făcând clic pe orice pe aceste site-uri ar putea cauza probleme. De fapt, chiar și încărcarea unei pagini web ar putea face acest lucru, deoarece există multe pluginuri disponibile pentru a recolta datele vizitatorilor odată ce se conectează la site. Dacă sistemul dvs. de operare sau browserul web are o vulnerabilitate (chiar și instrumentele de bază de urmărire a vizitatorilor pot obține specificul browserului și al sistemului de operare), atunci sunteți deschis la un atac. IP (cu excepția cazului în care utilizați un VPN) pentru a lansa instrumentul de hacking adecvat.
câteva sfaturi și semne de avertizare pentru a vă proteja online
următoarele sfaturi (nu o listă exhaustivă) vor reduce riscul în timpul navigării pe web:
actualizări de securitate și patch-uri pentru browsere, sisteme de operare și Software
instalați-le prompt, deoarece hackerii și testerii de penetrare au acces la datele disponibile public despre cele mai recente vulnerabilități și pot utiliza instrumente pentru a scana anumite vulnerabilități.
utilizați browsere securizate (cu opțiuni de securitate încorporate)
selecția dvs. este o preferință personală. Folosesc cinci sau șase browsere diferite, inclusiv Brave, Firefox și Tor.
utilizați Addons și extensii pentru a proteja navigarea
adăugarea la securitatea browserului dvs. Web este o idee bună. Orice de la Electronic Frontier Foundation este un plus demn, la fel ca și elementele esențiale de confidențialitate ale DuckDuckGo.
VPN
utilizați un VPN pentru a vă ascunde adresa IP reală și ciclați-o la fiecare 30 de minute. Chiar și cele gratuite vă vor ascunde de infractorii cibernetici. Faceți selecția cu înțelepciune, deoarece unele VPN-uri recoltează doar date pentru marketeri și sunt ele însele vizate ulterior de hackeri. Eu folosesc o soluție comercială.
SEO
utilizarea unui instrument precum SEO Quake poate oferi câteva indicii despre legitimitatea unui site web, inclusiv vârsta, numărul de linkuri externe și interne și multe altele.
site-ul web
Site-urile suspecte sunt adesea lipsite de elementele de bază. Engleza poate fi slabă. Este posibil să nu aibă informații reale despre proprietarul site-ului, cum ar fi datele de contact. De obicei, nu va necesita pagini de politică de confidențialitate și cookie. Poate împinge BitCoin sau alte valute digitale ca metode de plată preferate. În cele mai multe cazuri, se va simți ‘off’ sau va oferi ceva pentru prețuri prea incredibile pentru a fi adevărate. În climatul actual, înșelătoriile COVID-19 sunt frecvente, așa că aveți grijă.
concluzie
în concluzie, atunci când vizitați site-uri noi, nu vă bazați pe simbolul de blocare sau HTTPS. Luați acest site și luați în considerare de ce sunteți aici. Progress este un brand bine-cunoscut, cu o acoperire globală. Cei mai mulți dintre noi rămânem la mărci consacrate, dar o căutare vă poate duce la un nou furnizor de produse sau servicii. Faceți diligența înainte de a face o achiziție sau chiar de a explora un site nou. Căutați numele de domeniu între ghilimele și adăugați ‘recenzie’ sau ‘înșelătorie’ pentru a ajuta la verificare (având în vedere că sunt posibile și recenzii false și site-uri conexe). Da, escrocii se gândesc la toate. Mult noroc …