Comodo根证书被私自颁发、索尼1亿用户数据遭窃,黑客越来越大的胃口几乎想将企业与个人的信息全部吞噬。事件过后,除了对受害者的同情,我们也清楚地看到自身权益同样岌岌可危——钓鱼网站诱导欺诈与黑客花样翻新的攻击让我们有太多机会失去自己的个人信息和财产。作为提供服务的一方,网站通过部署SSL证书(服务器证书)确保信息传输安全已经成为时下广泛采用的方法,尤其是那些访问量较大或涉及大量用户信息的网站,SSL证书已经为他们建立了良好的用户信任,足以应对一些突如其来的安全事件。
5月10日消息,据国外媒体报道,攻击者正在通过谷歌的图片搜索发布恶意软件。据报道,成千上万的网站已经遭到了代码注入的危害,注入的恶意代码会重新指引用户使假冒的杀毒软件。
互联网风暴中心的Bojan Zdrnja称,攻击者把目标基本锁定在Wordpress的网页,将PHP代码注入到内容被高度搜索的图片网页。谷歌首先会标记这些热门网页,而后将图片显示到谷歌的图片搜索中。
Zdrnja在博客中写道,借助谷歌在点击时会显示图片的这一功能,图片搜索者会被重新引导到假冒的杀毒软件网站。至少有5000家网站受到危害,与此同时,谷歌也为这些恶意网站带来了每月1500万次的点击。
这些网站往往都是经过“精雕细琢”,与正规网站实在难辨真假,再加上诱人的价格诱惑,缺乏警惕的用户将一步步落入陷阱。用户利益受到损失的同时,被仿造的正规网站可信形象也将毁于一旦。
为避免这种窘境,像卓越网、华夏基金、支付宝等知名网站都部署了SSL证书(服务器证书),其中以全球最知名的VeriSign SSL证书为主。VeriSign证书通过SSL技术建立信息加密通道,防止用户信息在传输过程中被窃取、篡改。VeriSign SSL证书的每日恶意软件扫描功能可有效监测网页上的恶意攻击行为,降低用户电脑感染风险。更为重要的,部署了VeriSign SSL证书后,网站地址栏会以“https”开头,且在地址栏右侧显示金色锁形标记,通过点击标记可查验网站服务器证书和颁发机构信息,以确定网站真实身份。这些安全特征足以让用户辨认出狡猾的钓鱼网站,并帮助合法网站维护网站可信形象。
