online-shoppare uppmuntras ofta att se till att deras valda onlinebutiker är ’säkra’, att ’s’ i HTTPS är synliga och att webbläsaren visar en låssymbol. Att sprida dessa synliga indikatorer som bekräftelse på webbplatssäkerhet är inte bara oansvarigt; det är också farligt.
som Brian Krebs nyligen påpekade på Krebs om säkerhet, även USA. statliga och federala webbplatser är skyldiga till denna praxis, som om hänglåset garanterar webbplatsens officiella och säkra natur. Det är inte fallet. Låssymbolen och tillhörande URL som innehåller ’https’ betyder helt enkelt att anslutningen mellan din webbläsare och webbplatsservern är krypterad. Det är bra, eller hur? Ja, en krypterad anslutning är en positiv, åtminstone på ytan, och innebär en förhöjd nivå av förtroende som förmodligen uppnås genom användning av ett SSL-certifikat.
som diskuterats i en tidigare artikel kommer SSL-certifikat själva i många former, från DIY-ansträngningar med OpenSSL (du kan till och med vara din egen certifikatmyndighet) och gratis från Let ’s Encrypt till köpta lösningar från’ erkända ’ certifikatmyndigheter. Ingen gör något mer än att bekräfta äganderätten till en domän, och annat än att Bekräfta kryptering, bekräfta inte säkerhetspraxis på den webbplatsen på något sätt. Det bekräftar att webbplatsägaren har administratörsbehörighet till webbservern och har verifierat sin identitet på ett sätt som varierar beroende på det SSL-certifikat som valts.
låt oss illustrera de nödvändiga stegen som användare bör vidta när de bestämmer sig för att lita på en webbplats och i vissa fall hur lätt det är för cyberbrottslingar att kringgå så kallade verifieringsprocesser.
enligt PhishLabs var 74% av rapporterade phishing-webbplatser under det sista kvartalet 2019 ’säkra’, både HTTPS och med låssymbolen. Jag kunde avsluta det här inlägget här, efter att ha bevisat att båda kriterierna är värdelösa när det gäller säkerhet. Men jag kommer inte…
HTTPS betyder ingenting
den enda fördelen med HTTPS är att det mer eller mindre tvingar krypterade anslutningar online, utan det kommer många webbläsare att vägra att komma åt webbplatsen och visa en varning. Om användaren fortfarande vill ansluta till den osäkra webbplatsen är det möjligt, men varningen ges, vilket kommer att avskräcka de flesta användare. Tyvärr är cyberbrottslingar inte dumma så de flesta kommer att använda SSL-kryptering, som tidigare nämnts. Grattis, du har nu en direkt krypterad anslutning till en cyberkriminells webbplats, en som är speciellt utformad för phishing-attacker, malware-leverans eller andra motivationer som datainsamling.
domäner kan inte lita på
vem som helst kan skapa en webbplats med värdkostnader som sträcker sig från gratis (oavsett om de är legitima eller hackade underdomäner) och budget till dedikerade servrar. Vissa domäner är betrodda mer än andra, men som Brian Krebs visade (ja, jag är en vanlig läsare) än en gång, även .gov-domäner (reserverade för statliga organisationer i USA.) kan enkelt förfalskas när de som söker domänen för bedrägerier är beredda att använda olagliga metoder. Nivån på forskning som krävdes var minimal. Jag antar att .mil och. edu-domäner är mer robusta, men vem vet, eller hur? En av mina egna domäner använder .com.hk och är endast tillgänglig för Hong Kong-registrerade företag. Det var en smärta att ställa in-kräver flera e-postmeddelanden, kopior av min företagsregistrering cert, företagets bankkonto, mitt pass, och hemvist detaljer. Men åtminstone vet jag att processen är bra, med en dubbelkontroll med flera myndigheter. Detsamma gäller inte för. com och andra toppdomäner, oavsett plats. Om någon kan få en, Hur kan det lägga till förtroende för en webbplats?
Whois-verifiering är mestadels värdelös
för att förhindra skräppost döljer de flesta webbplatser webbplatsens kontaktinformation eller, i bästa fall, endast allmänna kontakter. Värdleverantören kan också placeras var som helst och återspeglar sällan den fysiska platsen för verksamheten.
due Diligence är alltid nödvändig
som nämnts i tidigare artiklar äger och underhåller jag några webbplatser med låg trafik. Jag gick med gratis Låt oss kryptera SSL-certifikat (med tillstånd av min värdleverantör) för bekvämlighet. Jag har ingen e-handel på plats just nu och använda betalning gateways och direkt inläggning till företagskonton som föredragna betalningsalternativ. Därför har jag inga PCI-DSS-krav, vilket gör att andra kan hantera den mardrömmen.
men i enlighet med flera regler (inklusive GDPR) har varje webbplats en detaljerad Integritets-och cookiepolicy som anger exakt vilken information som samlas in från webbplatsbesökare. Jag vet att mina webbplatser följer branschens bästa praxis, uppdateras snabbt med säkerhetsuppdateringar och så vidare. Hur ser jag till att de webbplatser jag besöker är lika säkra och pålitliga? Ännu viktigare, vilka är riskerna?
riskerna med att förlita sig på HTTPS som en primär indikation på säkerhet
cyberbrottslingar använder HTTPS för det mesta, och webbplatserna själva är ofta kopplade till phishing-eller malware-kampanjer. Du kan komma dit från en e-postlänk, som ett resultat av en sökmotorfråga eller hänvisning från en annan webbplats. Ja, de är också medvetna om SEO. Saken är, självklart, de äger webbplatser så att de kan installera något de vill göra sina mål lyckas.
en gratis nedladdning kan orsaka kaos på ditt system eller starta keylogging-verktyg, klicka på en länk kan starta ett program eller redigera registret i bakgrunden eftersom meddelandefönster ofta medvetet undviks. Att klicka på något på dessa webbplatser kan orsaka problem. Faktum är att även att ladda en webbsida kan göra det eftersom det finns många plugins tillgängliga för att skörda besökardata när de ansluter till webbplatsen. Om ditt operativsystem eller webbläsare har en sårbarhet (även grundläggande verktyg för besöksspårning kan få webbläsare och OS-detaljer), är du öppen för en attack. De kommer att ha din IP-adress (om du inte använder en VPN) för att starta lämpligt hackverktyg.
några Tips och varningsskyltar för att skydda dig Online
följande (inte en uttömmande lista) tips kommer att minska risken när du surfar:
säkerhetsuppdateringar och patchar för webbläsare, operativsystem och programvara
installera dem omedelbart eftersom hackare och penetrationstestare har tillgång till offentligt tillgängliga data om de senaste sårbarheterna och kan använda verktyg för att söka efter specifika.
använd säkra webbläsare (med inbyggda säkerhetsalternativ)
ditt val är en personlig preferens. Jag använder fem eller sex olika webbläsare, inklusive Brave, Firefox och Tor.
använd tillägg och tillägg för att skydda surfning
att lägga till säkerheten i din webbläsare är en bra ide. Allt från Electronic Frontier Foundation är ett värdigt tillägg, liksom DuckDuckGo ’ s Privacy Essentials.
VPN
använd en VPN för att dölja din faktiska IP-adress och cykla den var 30: e minut eller så. Även gratis kommer att gömma dig från cyberbrottslingar. Gör ditt val klokt eftersom vissa VPN bara skördar data för marknadsförare och själva senare riktas av hackare. Jag använder en kommersiell lösning.
SEO
att använda ett verktyg som SEO Quake kan ge några ledtrådar om legitimiteten för en webbplats, inklusive ålder, antal externa och interna länkar och mycket mer.
webbplatsen
misstänkta webbplatser saknar ofta grunderna. Engelska kan vara svag. Det kan sakna någon riktig information om webbplatsens ägare, till exempel kontaktuppgifter. Det kommer vanligtvis inte att kräva sekretess-och cookiepolicysidor. Det kan driva BitCoin eller andra digitala valutor som föredragna betalningsmetoder. I de flesta fall, det kommer bara att känna ’off’ eller erbjuda något för prissättning alltför otroligt att vara sant. I det nuvarande klimatet är COVID-19-bedrägerier vanliga, så var försiktig.
slutsats
Sammanfattningsvis, när du besöker Nya webbplatser, lita inte på låssymbolen eller HTTPS. Ta den här webbplatsen och fundera över varför du är här. Progress är ett välkänt varumärke med global räckvidd. De flesta av oss hålla sig till etablerade varumärken, men en sökning kan leda dig till en ny produkt eller tjänsteleverantör. Gör din due diligence innan du gör ett köp eller ens utforska en ny webbplats. Sök efter domännamnet i citat och Lägg till ’recension’ eller ’bluff’ för att underlätta verifieringen (med tanke på att falska recensioner och relaterade webbplatser också är möjliga). Ja, bedragare tänker på allt. Lycka till …