HTTPS等同于安全吗？

在相当一段时间内，安全社区都一直在教育用户关于安全通信的重要性。用户由此认为重要的连接会通过HTTPS确保安全，只要检查下在浏览器地址栏URL前是否有个小绿锁似乎就万事大吉了。

先来听个故事。John Smith有很多朋友并很喜欢旅行。有一天他收到一封邮件说“钱已发送至你的PayPal账户”。发件人似乎是最近在开普敦旅行时认识的一个人。John Smith觉得很意外并点击了一个看似可疑的链接 (hxxps://paypal.com=receipt-gifts.online)。凑巧的是，John最近参加了一次钓鱼安全意识培训，记得HTTPS说明网站是安全的。他在URL旁边看到有一个绿锁标识，于是认为没什么问题，接着输入了自己的PayPal用户名和密码并点击了输入按钮。我们的故事讲完了，但它只是John麻烦的开始。

让用户意识到通信的安全性起着非常重要的作用。但遗憾的是，它会产生一个奇怪的副作用，很多用户会信任所有通过HTTPS确保安全的网站。绿锁意味着安全也就是可以安全使用。攻击者适应能力很快，他们发现了利用人们对HTTPS的信任来牟利。利用HTTPS的一种攻击向量就是钓鱼。

警惕钓鱼域名

攻击者使用的一种非常普遍且有效的技术就是伪造著名域名名称如下所示，红色的文本是为了强调域名名称的虚假部分。

对于安全从业人员来说，所有的这些域名非常可疑，但安全小白却认为非常合法。这些域名通常存在的时间很短暂而且会在几天后被弃用。这就让黑名单方法很难奏效因为黑名单需要不断通过新域名进行更新。

在分析过程中，我们发现这些域名被用于钓鱼攻击、被垃圾信息发送人员用于提供虚假的技术支持、被广告人员用于推销质量堪忧的产品。

HTTPS：好心办坏事

攻击者已经开始利用用户对HTTPS的信任感，他们利用证书签名钓鱼域名。这些证书通常是证书机构发布的如免费发布证书的Let’s Encrypt。用户可看到小绿锁的存在但很少有人会查看证书的真伪。

以上两个例子都利用HTTPS发动钓鱼活动。我们可看出，锁是绿色的，网站看似是合法的，尤其是当你缩小图片看到大部分URL时更是如此。但是如果你输入凭证，它们就可能盗走你的钱和自拍照。

防胜于治

教育用户对于阻止钓鱼活动来说起着非常重要的作用。然而即使经过了培训，总有人会栽跟头。认知威胁分析 (CTA) 每周都会发现数百个钓鱼域名，包括大量使用HTTPS的域名。CTA针对网络建模并发现数据中的异常现象。如此，它就能发现之前看不到的钓鱼域名，并告警分析人员。目前来看，最好的应对方式是依靠框架如谷歌安全浏览模式和微软智能筛选 (SmartScreen)，它们会拦截所标记的钓鱼网站。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。