不少网友在登录邮箱或博客时有点选“记住密码”这类功能的习惯。但最近IE浏览器上的一个安全漏洞,使得用户这一习惯成为威胁邮箱、博客等账户安全的隐患。该漏洞可在用户进行网页上的鼠标拖拽操作及使用IE浏览器访问恶意网页两个条件下受到攻击。因此在漏洞修复之前,IE浏览器用户需避免在网页上进行拖拽操作,同时尽量访问那些采用SSL证书(服务器证书)等防护措施的高安全可信网站。
近日,国外研究人员发现IE浏览器上存在着一个名为cookiejacking的安全漏洞,该漏洞易导致用户帐号和密码的泄露。据安全专家介绍,cookiejacking漏洞被攻击有两个条件:其一,在网页中进行鼠标拖拽操作;其二,通过IE浏览器打开恶意网页。
一旦漏洞攻击成功,黑客将得到存储在浏览器文件中的cookie。由于许多用户在登录微博、邮箱等帐号时会选择“记住密码”,cookie失窃就意味着这些帐号会遭到黑客窃取。
邮箱遭窃后,用户以此邮箱为登录方式的电子商务网站会员、SNS社区等也会受到波及。而微博账号失窃的损失可能更加巨大——一些名人、企业等拥有上万粉丝的微博在互联网具有不小的影响力,因而价值不菲。有安全专家分析“尽管IE新漏洞被攻击的限制条件较严,不会被大规模利用,但仍有可能威胁到一些特殊帐号的安全,比如微博名人、社交网站的好友等,甚至有些人会在网上雇佣黑客破解帐号密码,cookiejacking漏洞还是会带来一定隐患。”
那么在漏洞修复之前用户该如何保护自己的账号安全呢?针对cookiejacking漏洞被攻击的两个条件,网友可采用如下建议。
为了诱使网用户在页中进行鼠标拖拽操作,黑客通常会设计一个网页游戏,比如将一个篮球移动到篮筐里,引导用户进行拖拽操作,因此IE浏览器用户在该漏洞修复前只需避免此类操作即可有效防止攻击,而对于恶意网页的防范则需网友更加谨慎。
目前,很多恶意网页不仅靠大量发送恶意链接,利用好奇心诱使网友访问,其以假乱真的页面也是导致网友上当的重要原因。因此,除了不随意点击可疑链接外,快速辨别网站真伪在防止钓鱼网站、挂马网站等恶意网页侵害方面更加重要,比如查看网站SSL证书(服务器证书)信息。
大多数知名网站为保护用户在线信息安全、建立可信网站形象,会选择部署SSL证书(服务器证书)。SSL证书在实现信息加密传输的同时,可为访问者提供大量的验证信息,帮助用户快速确认网站真实身份。
部属SSL证书(服务器证书)的网站会表现出一些明显的安全特征:地址栏以“https”开头,地址栏右侧自动显示金色锁形标记且点击后可供用户查看网站服务器证书及颁发机构信息。高端的VeriSign SSL证书还具有每日恶意软件扫描及网站信任签章功能,这些功能可有效监测网页上挂马等恶意攻击行为并为访问者提供更多更详细的验证信息。用户通过了解这些信息可快速判断网站是否真实可信,让那些善于仿造的钓鱼网页无所遁形。
实际上,由于VeriSign SSL证书的优越品质和品牌知名度,大部分网站都选择了VeriSign,全球上百万台服务器部署了VeriSign SSL证书。在国内,招商银行、支付宝、卓越网等上百家知名网站也通过VeriSign中国合作伙伴天威诚信获得了VeriSign服务器证书产品。天威诚信(iTrusChina)作为工信部批准的合法第三方电子认证服务机构,专业从事数字认证等技术和产品服务,本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。
掌握这些与辨别网站真伪有关的安全常识,能有效避免因访问恶意网站而造成的漏洞攻击。学会识别可信网站,不仅能在此次IE浏览器漏洞修复前加强账号安全,在今后的上网过程中也同样适用。
