你可能听说过,在将密码或信用卡信息输入在线表单之前,应该在网站顶部查找挂锁符号。这是一个善意的建议,但新的数据显示,这并不足以保证你的敏感信息的安全。
事实证明,骗子们变得聪明起来,开始在他们的网站上添加挂锁,直到最近,挂锁在大多数浏览器中还是亮绿色的。这意味着挂锁并不能保证网站是安全的。
这是根据网络安全公司PhishLabs的数据得出的,安全作家布莱恩·克雷布斯首先报道了这一数据,数据显示几乎一半的欺诈网页都有一个挂锁——用来表明网站是安全的——就在他们网站的网址旁边。根据反钓鱼工作组10月份的一份报告,许多互联网用户依赖挂锁符号来决定是否信任某个网站,骗子正在利用这一事实。
该报告的作者说,“网络钓鱼者正在利用这个标志周围不明确的安全信息”。
结果是,没有任何一种方法可以保护你远离互联网的黑暗面。你必须比以往任何时候都更精明,以避免骗子和检查一个网站是合法的一个以上的标志。
这意味着要确保网站的URL是正确的,并在可能的情况下,在浏览器中输入URL,而不是跟随电子邮件中的链接。密码管理器和安全软件等工具也能起到帮助作用:为了防止你被一个额外的令人信服的诈骗网站欺骗,它们会在URL与合法网站不匹配时警告你,或者一开始就阻止你打开一个诈骗网站。
网络安全公司Malwarebytes的研究部门主管亚当·库加瓦(Adam Kujawa)说:“意识真的是关键。”“这是由用户来决定的,这真的是合法的吗?”
挂锁一直是一个不完美的象征。它是用来告诉你一些具体的,技术性很强的东西,很难用一张简单的图片表达出来。
该锁应该告诉您,一个网站通过加密连接从您的web浏览器发送和接收信息。这是所有。你可以知道一个网站有一个加密的连接,因为它开始的字母是https,而不是http。如今的网站使用一种名为TLS的加密标准。安全连接使它没有人可以读你的网络流量,因为它通过互联网的巨大,全球基础设施。
这就是为什么加密连接是件好事:它能确保密码和信用卡号码等敏感信息被打乱,只有想接收这些信息的网站才能读取这些信息。这对网上购物或登录银行网站等事情非常重要。
这也是为什么如果一个网站没有安全连接,你永远不应该输入你的信息。
PhishLabs的首席技术官约翰?拉库尔(John LaCour)说,但很多人并不知道,这把锁有着如此特殊的含义。他说:“我们已经简化了‘lock’这个词的意思,它的意思是‘安全’。”
想要欺骗你进入敏感信息的骗子也可以在他们的网站上放一个绿色的挂锁,而且他们这样做的越来越多。当PhishLabs在2015年初开始收集数据时,不到0.5%的钓鱼网站挂着挂锁。这一数字迅速攀升,在2017年底达到约24%,在2018年第三季度超过49%。
拉库尔说,骗子越来越多地使用挂锁是有道理的。这是因为,由于谷歌、电子前沿基金会(Electronic Frontier Foundation)和其他重量级科技公司的网络安全专家的推动,网站创建者使用加密连接变得更容易、更便宜了。
罪犯现在可以很容易地获得能够显示挂锁并进行加密的证书,而且他们可以做到这一点,而不必透露太多关于他们是谁的信息。
更重要的是,Chrome和Firefox等主要浏览器的变化使得没有TLS加密的网站对用户来说更加危险,一个非常明显的警告说这个网站不安全。拉库尔说,这为罪犯在他们的网站上展示挂锁提供了额外的动力,并避免让人觉得可疑。
“这把锁并不能告诉你任何关于这个网站合法性的事情,”他说。“它只会告诉你,你的数据是加密的,因为它是通过互联网发送的。”
Cloudflare公司的密码学主管尼克•沙利文(Nick Sullivan)表示,骗子在他们的钓鱼网站上使用加密可能是最好的选择。Cloudflare公司的业务之一是帮助组织对网站进行加密。
这是因为发送任何人都可以拦截和阅读的有价值的信息总是一个坏主意,即使你最直接的问题是你刚刚将你的银行账户信息发送给了另一个国家的骗子。
Sullivan说:“钓鱼网站进行加密并没有什么不好。”