钓鱼网站识别
钓鱼网站的辨别随着互联网的广泛运用,人们的隐私信息、财务信息也越来越多的通过网络传播和通信。而由于互联网的广泛性和开放性,一方面使得互联网上存在着许多假冒、钓鱼网站,让用户无法分辨真伪;另一方面也让用
钓鱼网站的辨别
随着互联网的广泛运用,人们的隐私信息、财务信息也越来越多的通过网络传播和通信。而由于互联网的广泛性和开放性,一方面使得互联网上存在着许多假冒、钓鱼网站,让用户无法分辨真伪;另一方面也让用户的敏感信息面临被查看、篡改和盗用的风险。服务器证书利用鉴证与技术双重手段,一方面将网站所有者和网站一一对应,并用简单直观的方式让用户在页面上就可以查看相关信息,另一方面对用户和网站之间的信息传输实施加密,确保这些信息的安全。
网络钓鱼(Phishing ,与钓鱼的英语fishing 发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息。为了避免误入欺诈钓鱼网站,网民在输入个人信息前要首先辨别网站的真实性。一个安全的网站,一定会在关键页面如个人信息提交页、登录页面等提供基本的SSL 证书安全保护。网民可以通过以下几点,查看网站是否安全可靠。
钓鱼网站辨别的方法
1.VeriSign 信任签章
VeriSign 信任签章(VeriSign Trust Seal)可向全世界显示VeriSign 确认过您的身份,且您的网站已经通过VeriSign 恶意软件扫描。世界上许多大型公司都是使用 VeriSign 保护其网站的安全,并通过显示 VeriSign 信任签章给访客信心。网民通过点击该签章,查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况。 如图
2. “金色安全锁”
当网民登录安全链接页面时,浏览器将会自动显示金色安全锁型标记。此时用户在线输入的信用卡号、交易密码、个人隐私信息等机密数据在网络传输过程中将不会被随意查看、窃取和修改。不同版本的浏览器“金色安全锁”放置位置不尽相同,但看到金色小锁标记,我们在线提交信息安全上就有了一定程度上的保障。
,如图
3,“HTTPS”
当网民有SSL 证书保护的加密页面时,地址栏网址也会由“http”自动变成“https”。如同金色安全锁标记一样,我们此时提交的信息得到了安全加密保护。
如图
4,“SSL证书身份信息”
所有的SSL 证书均可以让网页展现“金色安全锁型”和“HTTPS”标记,但并不意味着我们可以完全信任该网站。部分网站可能只使用了仅提供加密功能的低端SSL 证书,此类证书不但加密强度有限,而且签发过程只要域名正确10分钟内便可签发, 也就是说一个欺诈钓鱼网站也有可能在10分钟内得到该证书。
对于网民来说,辨别网站至关重要的一步就是点击“金色安全锁型”查看SSL 证书的具体身份信息,如SSL 证书的签发机构(VeriSign )、SSL 证书所有人信息等。
,如图
二,防止钓鱼网站方法:
SSL 证书作为最为有效地安全技术,网站部署后,网民究竟如何通过数字证书识别欺诈钓鱼网站?网站通过部署SSL 证书,浏览器需经过以下5个方面的检查后,才会在页面浏览器页面显示安全锁标志,同时地址栏出现“https”字样,提示页面完成了SSL 证书安全加密。 第一,检查SSL 证书是否是由浏览器中“受信任的根证书颁发机构”颁发?如果不是,则浏览器会有安全警告,为 IE7 浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站。”IE6浏览器会提示 “该安全证书由您没有选定信任的公司颁发”。
第二,检查SSL 证书中的证书吊销列表,检查证书是否被证书颁发机构吊销?如果已经被吊销,则会显示警告信息:“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
第三,检查此SSL 证书是否过期?如果证书已经过了有效期,则会显示警告信息:“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
第四,检查部署此SSL 证书的网站的域名是否与证书中的域名一致?如果不一致,则浏览器也会显示警告信息:“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览网站。”
,第五,IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单?如果是,则会显示:“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页,并且不要继续浏览该网站。
除此之外,网民还可以注意网站的一些特殊站点标志,例如国际著名SSL 证书品牌VeriSign 还为部署SSL 证书的网站提供了VeriSign 信任签章(VeriSign Trust Seal),通过点击该标志可以查看网站的身份信息。V eriSign 信任签章(VeriSign Trust Seal),拥有庞大的用户群,每天的浏览人次数超过1.5亿次。
1. EV SSL 成为未来网站安全的新趋势
网站在部署了 SSL 证书后,除了可以显示“锁”标记,地址栏“https”字样,“动态站点签章标志”,是否有更为简单的判断方式?
当然有,目前SSL 证书领域的大哥大扩展验证(EV )SSL 证书就有这样的本事。扩展验证(EV )SSL 证书是一种新的安全证书。可以让消费者更加轻松地辨识网站真伪。部署了高端V eriSign 扩展验证(EV )SSL 证书的网站地址栏会自动变成绿色,地址栏上滚动出现网站身份信息及数字证书颁发机构的名称,提示网站经过了高级别身份验证。而对于钓鱼站点,红色地址栏将自动进行提示网民注意自身安全。在国内,扩展验证(EV )SSL 证书实际已经在我们身边,VeriSign 扩展验证(EV )SSL 证书已通过其官方合作伙伴天威诚信数字认证中心开始颁发,目前招商银行、工商银行、中信银行等银行网站已先后换装国际领先的VeriSign 扩展验证(EV )SSL 证书。如果你想亲自尝试,不妨登录这些网站看看自己的地址栏是否也变成绿色。
二. 天威诚信提供解决方案
,两款EV SSL 服务器证书:Secure Site Pro with EV和Secure Site with EV;
两款SSL 服务器证书:Secure Site Pro和Secure Site;
◇ 128位强制型服务器证书(Secure Site Pro):支持SGC 强制型加密技术,最低128位加密强度,最高256位加密强度。
◇ 128位支持型服务器证书(Secure Site) :128/256位自适应加密,对于低版本的浏览器(IE 版本3.0-5.0)加密强度为40位。
三. 产品功能
◇ 加强用户的信任度,树立良好的品牌形象;
◇ 避免假冒、钓鱼网站的侵害,保障投资价值;
◇ 保护用户隐私信息和财务信息,为进一步细分用户和信息整合打下基础。
