近期,网络安全事件频发,钓鱼攻击正在滥用微软 Azure 静态 Web 应用服务,窃取微软、Office 365、Outlook 和 OneDrive 的凭证。防止钓鱼攻击,最有效的办法便是部署SSL证书。为防钓鱼网页以假乱真,部署SSL证书势在必行。
Azure 静态 Web 应用是微软的一项服务,可从代码存储库自动生成完整的堆栈 Web 应用,并将其部署到 Azure。它允许开发人员使用自定义域名来标记 web 应用程序,并为 HTML、CSS、JavaScript 和图像等静态内容提供 web 托管。
安全研究人员发现,攻击者可以很容易地将自定义域名标记 web 应用程序和 web 托管功能用于静态登录的钓鱼网页,并且正在积极利用微软的服务来攻击微软、Office 365、Outlook 和 OneDrive 的用户。如下所示:
从上图可见,这些网络钓鱼活动中使用的一些登录页面看起来几乎与微软的官方页面一模一样。
识别钓鱼网站 部署SSL证书是关键
部署SSL证书后,用户可以通过验证HTTPS中的SSL证书信息,确认网站的真实身份,避免用户点击了假冒网站而上当受骗。在过去,人们大多习惯性的认为只要部署了SSL证书的网站就是安全的,但随着SSL证书的普及,不法分子也打起了SSL证书的主意,由于域名型DV SSL证书只需要验证域名管理权,不需要验证网站真实身份,使得不法分子有机可乘。
对于经营带有交易性质的网站可以选择部署OV SSL证书或EV SSL证书,可以在证书详情中能查看到申请者单位名称,并且EV SSL证书是目前安全等级最高的,经过权威可信的CA机构严格的审查,可以放心访问。
DV、OV以及EV之间的区别,可参考本站的:《DV、OV、EV三种SSL证书之间的区别》
各类网站及时部署SSL证书,对网站进行身份认证,除了能够对网站数据进行加密外,还能有效减少用户误入钓鱼网站,保护网站用户信息安全防止第三方窃取篡改。全球知名品牌如GeoTrust、Symantec、Comodo等都是值得信赖的品牌,有多款SSL证书可以选择,可以满足不同用户对网站安全的需求。
最后,没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击。我们能做的是通过部署SSL证书的安全解决方案,建议企业网站为网站部署OV SSL证书或EV SSL证书来防范钓鱼网站,尽最大可能避免自我损失,降低网络钓鱼攻击所带来的风险。
