HTTPS也可能保护钓鱼网站
Chrome新版本的好处显而易见。在新版本中,Chrome浏览器将默认尝试加载经过传输层安全(TLS)保护的网站版本。这些网站在Chrome Omnibox中显示出一个封闭的锁,也就是我们大多数人所熟知的Chrome地址(URL)栏。但坏消息是,一个网站如果仅仅因为被HTTPS保护就完全信任它,是不合理的。
数年前,知名WordPress安全公司WordFence发现,证书颁发机构(CA)向冒充其他网站的钓鱼网站颁发了SSL证书。因为这些证书是有效的,所以即使它们是钓鱼网站,Chrome仍然会将这些网站报告为安全的网站。
当然,CA不应该向这些虚假网站办法证书,然而事件已经发生了,往者不可谏。据悉,这个名为Let's Encrypt的免费CA,曾被用来为非法使用 "PayPal "作为其名称一部分的钓鱼网站创建数千张SSL证书。
此外,零信任安全公司MetaCert的创始人兼首席执行官、万维网联盟(W3C)URL分类标准的联合创始人保罗·沃尔什认为,如果认为仅靠HTTPS就足以保证互联网连接的安全,将会产生很多问题。
"当基于DNS的安全服务刚推出时,大多数网络都没有加密,黑客也没有使用谷歌、微软、GitHub等可信的域名,所以它们在过去是有效的,但在今天就不那么有效了。"
在今天,82.2%的网站已经被HTTPS保护。
理论上的巨人,行为上的矮子
除了上述存在的客观情况,沃尔什认为谷歌的执行力也是一个问题。
他认为,谷歌是理论上的巨人,行动上的矮子。他在分析网站安全时发现,基本的URL挂锁是为了告诉用户他们与网站的链接是加密的。但是,一个挂锁并不代表任何信任或身份的信息。Chrome的UI设计师应该让网站身份更加明显,比如在工具栏上设置一个单独的图标来与挂锁区别开。
换句话说,谷歌现在的设计,可以让用户“安全”地进入一个钓鱼网站,这样的安全性不过是徒有其表罢了。
这种情况的发生不仅仅是因为那些拥有真实HTTPS证书的虚假网站。
Modlishka攻击会在用户和其想访问的网站之间创建一个反向代理。它使用户以为自己连接到了真实的网站,因为可以从合法的网站获得真实的内容,但反向代理默默地将用户所有的流量重定向到Modlishka服务器。
这样就导致了,用户的凭证和敏感信息,如用户输入的密码或加密钱包地址会自动传递给黑客。反向代理也会在网站提示要求用户提供2FA令牌,黑客就可以实时收集这些2FA令牌,来访问受害者的账户。
除此之外,沃尔什也完全不相信免费和简易的HTTPS证书是一件好事。