在以往的网购指南中,往往推荐用户访问带有“安全锁”(Chrome 68开始默认不显示,所有HTTP网页标记不安全)的电商网站,可以极大地免受网络钓鱼攻击或者恶意软件陷阱。然而不幸的是,这条推荐的意义已经不大了。最新研究结果表明, 一半的钓鱼欺诈行为现在都托管在以“https://”开头标记有安全锁的网页上。
根据反网络钓鱼公司PhishLabs的最新数据,2018年第3季度中有49%的网络钓鱼站点在浏览器地址栏上都显示“安全锁”图标。而去年同期占比为25%,2018年第2季度占比为35%。这组数字的增长令人担忧,因为PhishLabs在去年的调查中发现,超过80%的受访者都认为带有“安全锁”的 网站 往往是合法的、安全的。
实际上,网址启用https://(也称Secure Sockets Layer,SSL),仅仅表示你在访问该网址所来回传输的数据,以及该网站已经加密,无法被第三方读取。显示“安全锁”并不意味着该网站就是合法,也不是表明该网站是否经过安全加固以阻止黑客入侵的证据。
该公司首席技术官John LaCour说:“PhishLabs认为网络钓鱼者同样可以使用SSL证书,最重要的是SSL的存在或者缺失并不能告诉你有关网站合法性的任何信息。”