說實話,大多數人看到網址左側有綠色鎖標記和”安全”一詞時,都會認為這個網站肯定是安全的。同樣,看到”此網站使用安全連接”或者以”https”開頭的網址大多數人也很放心。但現在,越來越多的網站在切換到HTTPS。事實上,大多數人都沒其他選擇。那麼問題在哪兒呢?網站越安全越好 – 對不對?

安全連接並不等於安全網站
綠色鎖標記表示已經對該網站頒發證書,並且為其生成了一對加密金鑰。這類網站會加密你與網站之間傳輸的資訊。在這種情況下,頁面URL網站均HTTPS開頭,最後一個”S”表示”安全”。
加密傳輸的資料當然是件好事。這意味著ISP、網路系統管理員、入侵者等協力廠商無法訪問你的流覽器和網站之間交換的資訊。你可以在這類網站上輸入密碼或信用卡詳細資訊,而不用擔心被人窺探。
但問題是從綠色鎖標記和頒發的證書中,看不出網站本身是什麼。網路釣魚頁面也可以輕鬆獲得證書並加密您與網站之間的所有流量。
簡而言之,所有綠色鎖標記只能確保沒有其他方可以偷窺你輸入的資料。但是,如果網站本身是假冒的,那麼你的密碼仍然會被盜取。
網路釣魚犯罪分子們在積極利用這一點:據Phishlabs稱,如今有四分之一的網路釣魚攻擊是在HTTPS網站上進行的(兩年前這一比例還不到1%)。此外,超過80%的用戶認為,只要網址旁邊有綠色鎖標記和”安全”字樣就說明網站是安全的,所以他們不會過多考慮就會輸入自己的資訊。
如果鎖標記不是綠色的呢?
如果位址欄沒有顯示任何鎖狀標記,說明該網站未使用加密,而是使用標準HTTP與你的流覽器交換資訊。目前,Google Chrome已經開始將這類網站標記為不安全。事實上,這類網站有可能完全沒問題,但因為不加密你與伺服器之間的流量,所以才標記為不安全。大多數網站所有者並不希望Google把自己的網站標記為不安全,所以越來越多的網站開始遷移到HTTPS。不管怎樣,在HTTP網站上輸入敏感性資料都不是什麼好事 – 因為任何人都可以窺探到這些資訊。
你可能見過另一種類型的網址,鎖形標記上帶紅色叉線,並且HTTPS字母標記為紅色。這意味著該網站有證書,但證書未經驗證或已過期。也就是說,你和伺服器之間的連接是加密的,但是沒人能保證這個功能變數名稱確實屬於該網站上指示的公司。這是最可疑的情況;通常這類證書僅用於測試目的。
另外一種情況是,如果證書已經過期,而所有者沒有及時更新證書,則流覽器也會將頁面標記為不安全,但是通過顯示紅色鎖警告以更顯眼的方式提醒。無論是哪種情況,都應把紅色標記視為警告,避免訪問這些網站 – 千萬別在這些網站上輸入任何個人資料。
如何避免吞下誘餌
總而言之,證書和綠色鎖標記的存在意味著你和網站之間傳輸的資料是加密的,並且證書是由可信憑證授權頒發的。但是這並不能阻止HTTPS網站是惡意網站,這是網路釣魚詐騙犯們運用最熟的伎倆。
因此,無論網站看起來多麼安全,都要時刻保持警惕。
- 除非能確定網站的真實性,否則切勿在網站上輸入登錄名、密碼、銀行憑證或任何其他個人資訊。為此,請始終檢查功能變數名稱 – 務必認真檢查;假冒網站的名稱可能只相差一個字元。在點選連結之前確保連結是可靠的。
- 始終考慮特定網站會提供哪些內容?網站是否看起來可疑?是否你真的需要註冊?
- 確保你的設備受到妥善保護:卡巴斯基安全軟體可根據豐富的釣魚網站資料庫來檢查URL,另外不管資源看起來有多麼”安全”,卡巴斯基安全軟體始終會檢測是否有欺詐行為。
資料來源:https://www.kaspersky.com/blog/https-does-not-mean-safe/20725/