标签： 网站安全

Comodo根证书被私自颁发、索尼1亿用户数据遭窃，黑客越来越大的胃口几乎想将企业与个人的信息全部吞噬。事件过后，除了对受害者的同情，我们也清楚地看到自身权益同样岌岌可危——钓鱼网站诱导欺诈与黑客花样翻新的攻击让我们有太多机会失去自己的个人信息和财产。作为提供服务的一方，网站通过部署SSL证书（服务器证书）确保信息传输安全已经成为时下广泛采用的方法，尤其是那些访问量较大或涉及大量用户信息的网站，SSL证书已经为他们建立了良好的用户信任，足以应对一些突如其来的安全事件。

5月10日消息，据国外媒体报道，攻击者正在通过谷歌的图片搜索发布恶意软件。据报道，成千上万的网站已经遭到了代码注入的危害,注入的恶意代码会重新指引用户使假冒的杀毒软件。

互联网风暴中心的Bojan Zdrnja称，攻击者把目标基本锁定在Wordpress的网页，将PHP代码注入到内容被高度搜索的图片网页。谷歌首先会标记这些热门网页，而后将图片显示到谷歌的图片搜索中。

Zdrnja在博客中写道，借助谷歌在点击时会显示图片的这一功能，图片搜索者会被重新引导到假冒的杀毒软件网站。至少有5000家网站受到危害，与此同时，谷歌也为这些恶意网站带来了每月1500万次的点击。

这些网站往往都是经过“精雕细琢”，与正规网站实在难辨真假，再加上诱人的价格诱惑，缺乏警惕的用户将一步步落入陷阱。用户利益受到损失的同时，被仿造的正规网站可信形象也将毁于一旦。

为避免这种窘境，像卓越网、华夏基金、支付宝等知名网站都部署了SSL证书（服务器证书），其中以全球最知名的VeriSign SSL证书为主。VeriSign证书通过SSL技术建立信息加密通道，防止用户信息在传输过程中被窃取、篡改。VeriSign SSL证书的每日恶意软件扫描功能可有效监测网页上的恶意攻击行为，降低用户电脑感染风险。更为重要的，部署了VeriSign SSL证书后，网站地址栏会以“https”开头，且在地址栏右侧显示金色锁形标记，通过点击标记可查验网站服务器证书和颁发机构信息，以确定网站真实身份。这些安全特征足以让用户辨认出狡猾的钓鱼网站，并帮助合法网站维护网站可信形象。

一些以短信、聊天工具为主要传播载体的钓鱼网站随着微博的兴起悄悄浮出水面，这些钓鱼网站依然以中奖信息作为伪装方式，不厌其烦的通过老套欺诈手段骚扰微博用户。虽然广大用户对此类骗术并不陌生，但由于微博网站普遍缺乏安全防护，加之支持链接的发布，人们在好奇心驱使下很可能让钓鱼网站钻空子。微博大红大紫之际不可忽视网站安全建设，不如像一些微博为企业、名人提供实名认证加强其可信度那样，通过SSL证书（服务器证书）验证网站真实身份，为微博网站自身做一个“安全实名认证”。

近日，只要登陆微博网站以“中奖”为关键词搜索，其结果足有数百页。随便点开一条，就能看到不法分子通过转发、回复等方式，通知博主中奖并附上所谓的活动网址及验证码等信息。奖品“iPhone4”、“iPad2”等时下流行的诱惑字眼随处可见，而weibou.c*.tf、weibo**.tk等高仿真的山寨域名更让钓鱼网站真假难辨。比如一个名为“@管理员”发出的中奖内容为：“尊敬的用户您好，恭贺您被选为今日活动的二等奖用户，已获得奖金6万元及笔记本电脑一台。详情请复制网址登录官方网站：weibo.net.tc/查询”。而复制该网址进行登录后，发现是一家存在安全风险的可疑网站。

此类中奖信息几乎可以确定全部都是假的，用户应该将安全软件保持在开启状态，即便是误点到钓鱼网站，安全软件也会弹出警告窗口，保障用户安全。另一方面，微博网站可以通过部署SSL证书为用户主动提供安全服务，提升用户体验。SSL证书的应用，就如同微博实名认证帮助博主解决山寨、抄袭带来的困扰一样，用真实可信的网站形象提升自身影响力。

SSL证书可通过SSL技术实现信息传输加密，防止用户账号等个人信息被窃取、篡改。微博用户在部署SSL证书的网站上可以安心登陆或提交自己的博文。而VeriSign SSL证书这种全球知名的服务器证书还可为网站提供每日恶意软件扫描功能，凭借对网页上恶意攻击行为即时监测，降低微博用户电脑被恶意软件感染的风险。此外，部署了SSL证书的网站其地址栏是以”https”开头，且地址栏右侧会显示金色锁形标记，点击后可查验网站服务器证书和颁发机构的详细信息，确定网站真实身份。

    目前，国内正规网站想获得这种身份认证带来的便利非常简单：国内VeriSign证书主要由VeriSign中国区合作伙伴天威诚信提供，天威诚信（iTrusChina）是工信部批准的合法第三方电子认证服务机构，专业从事数字证书等技术和产品服务。在与VeriSign超过11年的合作中，天威诚信为很多网站提供了专业的本土化服务，帮助国内网站轻松获得国际领先的安全服务。

用人人、开心网等SNS类社交网站进行网络推广的方式已被普遍应用。因此，很多公司企业与SNS类社交网站接触频繁，通过社交网络自我推广，甚至举办各类在线活动。给企业带来效益的同时，也为攻击者发起钓鱼攻击创造了更多机会。此外， SNS类社交网站用户信息集中、传播广泛、支持短链接转发等特点，同样为攻击者提供了便利。这些因素让处于社交网络中的企业、个人信息异常脆弱，而社交网站在网站信息安全方面并没有过多投入，像国内网站普遍采用的SSL证书（服务器证书）等安全技术均未体现。

一份来自微软的安全报告称，利用社交网络发动的“钓鱼”攻击占2010年12月份“钓鱼”攻击总数的84.5%，而这一数字在同年1月仅为8.3%。可见社交网络“钓鱼”攻击来势汹汹，安全威胁显而易见。

“钓鱼“攻击主要的攻击方式是冒充合法信息，通过诱惑性的内容吸引网络用户点击恶意链接，已达到诱骗用户购买流氓软件或窃取用户个人注册信息的目的。像以“腾讯十周年中奖”、“抢先注册购买半价iphone“等为噱头的恶意欺诈就属于钓鱼攻击，而这种欺诈行为很容易应用在社交网络。

来自社交网络的钓鱼攻击威胁个人权益的同时，也在伤害公司企业的利益。比如某公司通过社交网络发起有奖活动，恶意攻击者会先假造一个以假乱真的钓鱼网页，然后通过一些手段让该假冒网页的链接位于搜索结果最靠前的位置，并对真正的活动网址发起攻击，使其无法正常访问，诱使用户进入钓鱼页面。此时，恶意攻击者可以获取用户的注册资料，并以此发起进一步的欺诈攻击。对替钓鱼网页“背黑锅“的企业而言，这无疑是一场瓦解用户信任的灾难。

面临信任缺失威胁的同时，企业信息安全也被来自社交网络的钓鱼攻击所动摇。有时员工有时会通过企业网络登录社交网站，。这意味着企业员工一旦遭遇钓鱼攻击，恶意攻击的影响很可能会波及企业网络内部，致使企业网络无法正常工作。而APT类攻击的发起者，甚至会通过观察企业员工在社交网络的活动规律，逆向发现侵入企业网络的路径。

社交网络安全问题明显，但其为用户带来的便利以及网络推广中体现出的价值确实让用户两难。因此建议在企业和个人加强自身信息安全防范的同时，社交网站应当及时加强自身安全建设。

目前，各类网站为确保信息安全、有效区分钓鱼网站，普遍采用SSL证书（服务器证书）产品。通过在涉及用户信息的关键页面部署SSL证书，建立信息加密传输通道，防止用户信息在传输过程中被窃取、篡改。全球知名度最高的VeriSign SSL证书还提供免费恶意软件扫描功能，及时监测网页上挂马等恶意攻击行为。同时，部署SSL证书的网站具备一系列安全特征：地址栏以“https“开头且在地址栏右侧显示金色锁形标记，点击标记后可查看服务器证书和颁发机构信息，以帮助用户确认网站真实身份，快速排除以假乱真的钓鱼网页。

    许多用户熟知的网站如支付宝、卓越网、华夏基金等都部署了VeriSign证书，该证书作为全球最知名的服务器证书品牌受到世界百强企业的广泛认可。VeriSign在与其中国区合作伙伴天威诚信超过11年的合作中，为上百家网站提供安全服务，在保护用户信息安全和打击钓鱼网站方面做出积极贡献。SNS类社交网站可参考这些知名网站的防护措施，及时提升自身安全强度，以对抗来自钓鱼攻击的安全威胁。

继火狐4与IE9在发布之初的下载量“PK”后，火狐浏览器近日又成为备受瞩目的焦点——火狐浏览器的“火狐魔镜”插件最近曝出一个高危0day漏洞，几乎影响到火狐中国版浏览器的所有用户。目前，该漏洞易使用户感染木马，建议用户不要点击来源可疑的链接，尽量访问具有良好网站可信形象的站点，比如大型知名网站、装有SSL证书（服务器证书）且显示网站信任签章的中小型网站。

据悉，“火狐魔镜”是一款由火狐中国版浏览器默认捆绑安装的应用插件。该插件主要用于拖拽网页中的文字以获取搜索结果，由于存在安全漏洞，用户面临将木马直接“拖”入电脑的危险。在一些技术类论坛，已有黑客公开了“火狐魔镜”漏洞的攻击方法，使该漏洞的安全威胁进一步扩大。

据安全专家介绍，黑客攻击“火狐魔镜”漏洞主要依靠在网站页面上挂马。一旦火狐浏览器的用户在挂马的网页上拖拽文字，就会使恶意代码注入“火狐魔镜”，进而导致浏览器插件接口被黑客利用，使木马自动侵入电脑。

    “魔镜”漏洞得到修复前，此款插件的用户应采取相应措施以避免个人电脑受到感染。

首先注意不要点击来源可疑的网址链接。论坛、微薄以及QQ等聊天软件中时常出现来历不明的链接，有些是宣传广告而有些则链向恶意网站。一旦因好奇而误入恶意网站，用户电脑安全将岌岌可危，尤其“魔镜”用户习惯拖拽功能后更易中招。

用户也可暂时卸载“火狐魔镜”插件，待漏洞修复后再重新安装，这个方法更为简单直接。当然，让用户被迫暂离自己喜欢的软件，在这个强调用户体验的时代里的确不太妥当。所以建议继续使用火狐“魔镜”的用户，不仅要避免点击可疑链接，还要学会辨别哪些网站是真正可靠、值得信赖的。

用户上网时，可选择访问大型的知名网站，此类网站管理严格，在网站安全方面也更加关注；对于中小型网站，请选择部署SSL证书（服务器证书）且在页面上展示有网站信任签章的站点。

SSL证书通过SSL技术可以确保信息加密传输，防止信息传输过程中被窃取、篡改。不仅如此，像国内多数网站采用的VeriSign证书，不仅具有信息加密功能，其免费提供的每日恶意软件扫描功能可以及时监测网页上挂马等恶意攻击行为，并对部署VeriSign SSL证书的网站给予VeriSign信任签章。用户可通过点击展示在页面上的信任签章，了解网站真实详细的身份信息。另外，部署SSL证书的网站具有明显的安全特征：地址栏以“https”开头、地址栏右侧显示金色锁形标记，点击后同样可以查看网站服务器证书和颁发机构的信息，将自身与钓鱼网站等恶意站点有效区分。

除此之外，火狐浏览器的用户还应了解该浏览器可支持VeriSign扩展验证EV SSL证书绿色地址栏功能的特点。该功能使VeriSign扩展验证EV SSL证书在反钓鱼方面表现更为强劲：将可信网站的地址栏显示为绿色，而高危的可疑网站地址栏会立即变红，通过这种醒目颜色变化，更为直观的提示用户当前网站是否安全。

    目前，国内绝大多数VeriSign SSL证书是由VeriSign中国区合作伙伴天威诚信提供的。天威诚信（iTrusChina）是工信部批准的合法第三方电子认证服务机构，专业从事数字证书等技术和产品服务，已与全球最知名的服务器证书品牌VeriSign合作超过11年。为支付宝、招商银行、卓越网等上百家网站提供网站可信服务。因此不仅是“火狐魔镜”用户，广大网友都应学会识别地址栏“https”开头、金色锁形标记、网站信任签章、绿色地址栏等网站可信特征，以避免恶意网站侵害。

端午节临近，不少人早早的做好了出行准备，大家如此积极的原因之一，恐怕是为了弥补五一留下的遗憾——五一期间，假期往返的车票机票瞬间售空，人们无票可买；钓鱼网站借票务紧俏从中作梗，挑衅般让无法出行的朋友雪上加霜，严重损害了在线订票用户的权益。为此，建议大家尽早落实出行问题，参加旅行团、短途自驾游都是不错的方法；而网上联系酒店、订票的朋友则需要格外小心，钓鱼网站极有可能借端午假期再次打出“低价票”的旗号招摇撞骗，除安装杀毒软件、拒绝接受来源不明的文件外，还要认准部署SSL证书（服务器证书）的正规票务网站，避免钓鱼欺诈。

近日，李女士通过汇款的方式在某网站订购了两张机票，付款不久后，却发现对方网站已经关闭，两千多元就这样打了水漂；另一位网友虽特意拨打了“400”客服电话询问，以求支付安全，却依然中了欺诈圈套，被钓鱼网站骗取钱财。

据警方介绍，不法分子伪造一个票务网站并不困难，假冒网站在logo、框架及设计风格上完全仿照国内大型票务网站主页，为求真实甚至申请了“400”客服电话。假网页如果在百度搜索中位置靠前，通过“特价机票”“端午假期”等关键字进行搜索时，很容易便能被找到并诱使用户访问。一旦有人进入网站并拨打客服电话，系统会马上转接给诈骗分子，进而冒充客服实施欺诈。

用户具体该如何应对难辨真假的钓鱼网站，确保端午前夕顺利完成在线订票呢？

首先，用户应安装并更新个人防火墙以加强电脑安全，实现对部分钓鱼网站及存在恶意攻击的网页进行警报并阻止访问。再者，用户需提高警觉，留意典型的诈骗方式：一是钓鱼网站通常无法像正规票务网站那样，可实现从查询到预订及在线支付的购买流程，只能通过人工电话要求顾客将票款汇至某银行账户，遇到此类要求时请务必小心，对方很可能是欺诈网站；而不法分子惯用的另一手段是在用户已经被骗的基础上，假借客户款项被冻结或转账失败，需要重新转账为由，实施连环诈骗。

除了以上这些，用户还应学会从外观上辨别正规网站和钓鱼网站，尽量远离钓鱼攻击。目前，许多正规网站都部署了SSL证书（服务器证书），通过SSL技术实现信息的加密传输，确保信息在传输过程中不被窃取、篡改，有效保护用户网银账号等敏感信息。由于部署SSL证书的网站具有地址栏以“https”开头、地址栏右侧显示金色锁形标记等无法仿冒的安全特征，因此用户可凭借安全特征对正规网站进行识别，让善于模仿的钓鱼网站无所遁形。

专为用户提供出行便利的携程旅行网曾饱受钓鱼网站和“携程机票网”“携程商旅网”等山寨网站的袭扰，为此采用了由天威诚信提供的VeriSign SSL证书，快速建立起携程旅行网的网站可信形象。

相信关注信息安全的网友对VeriSign并不陌生，VeriSign SSL证书是全球最知名的服务器证书品牌VeriSign的产品之一。进入中国后，VeriSign与其中国合作伙伴天威诚信在超过11年的合作中，为上百家知名网站提供了安全服务。天威诚信（iTrusChina）是工信部批准的合法第三方电子认证服务机构，专业从事数字证书等技术和产品服务，为VeriSign证书可靠的品质赋予了周到且专业的本土化服务支持。 端午佳节将至，希望大家在关注出行时也注意在线订票安全，为自己规划一个美好的假期。

端午佳节将至，清香糯滑的粽子无疑是炙手可热的美食，大大小小的团购等购物网站已成了许多朋友选购粽子或节日礼品的不二选择。正因如此，众多钓鱼网站开始蠢蠢欲动，试图把偷钱的黑手伸向用户腰包。借鉴以往的经验，用户应尽量挑选知名购物网站或采用SSL证书（服务器证书）技术的可信网站，以免遭遇网络欺诈。

李女士是一家教育机构的员工，由于工作繁忙，平时很少有空去商场超市购物，因此专程挑选端午节给长辈敬送的粽子成了难事。好在她发现网上有很多卖粽子礼盒的网站，购买方便且价格便宜。经过详细询问，她在一家网站下了单，可下单前，卖家称有个注意事项的文档需要李女士接收看一下。李女士点开收到的文档，并未觉得有什么奇怪，也就没放在心上。但网银付款后不久，她发现支付的钱并没有进入那家购物网站，而是流入了某游戏交易平台的一个帐户中。

经李女士与相关单位反复协商，虽然对方同意协助李女士追回被骗走的钱，但过程及手续繁复，且真正挽回损失的希望渺茫。

李女士所遇到的是典型的网络欺诈，骗子通过促销等信息诱使顾客登录钓鱼网站，在支付前向用户发送伪装为文档等形式的木马病毒，以篡改或窃取用户交易信息，达到骗取或直接盗取用户资金的目的。有些钓鱼网站也借助在网页挂马等手段感染用户电脑，盗取用户信息及资金。

在木马泛滥的今天，用户稍有疏忽就可能落入欺诈陷阱，因此不仅是端午节前后，平日里用户也要注意以下安全常识：

    1、网购过程中，不可轻易接收卖家发送的文件，也不要轻易访问卖家所给的付款网址。一定按照购物网站指明的购物流程进行付款操作。

    2、面对低价促销活动需要理智对待，类似“200元iphone”“3折汽油卡”这些日常难以打折的商品突然出现大幅折扣，就需警惕。以免上当受骗、发生卖家携款而逃的事情。

    3、选择一款专业杀毒软件，开启杀毒软件的主动防御和网页防马墙功能，并及时更新病毒库，以强化电脑抵御病毒危害的能力。

除上述三点外，用户应尽量选择访问可信网站。可信网站包括知名的大型在线购物网站和采用SSL证书（服务器证书）的其他网站。大型购物网站服务正规且对网站安全管理严格，因此用户在此类网站交易风险很低；而在涉及用户信息的关键页面部署SSL证书（服务器证书）的中小型网站同样值得信任。

SSL证书通过SSL技术可确保用户信息加密传输，防止信息在传输过程中遭到窃取或篡改，保护网银账号等隐私信息安全。通过SSL证书可快速判断网站真实身份，打击钓鱼网页——部署SSL证书的网站具有明显安全特征：地址栏以“https”开头并在右侧显示金色锁形标记，点击标记可查看服务器证书和颁发机构信息，让身份可疑的假冒网站无所遁形。

目前，SSL证书以全球知名的VeriSign SSL证书认证最为严格，也因此成为银行、电子商务等建设可信网站形象的首选。在中国，VeriSign与其中国合作伙伴天威诚信超过11年的合作中，为招商银行、卓越网、支付宝、团客拉等上百家知名网站提供安全服务。天威诚信（iTrusChina）作为工信部批准的合法第三方电子认证服务机构，专业从事数字认证等技术和产品服务，为国内网站使用国际领先安全服务提供便利。端午佳节前夕，希望广大网友及时完善电脑安全防护，注意在线交易安全，度过一个放松舒心的假期。

作为国内知名大型银行之一，光大银行自1992年成立以来，一直为客户提供全面的商业银行产品与服务，整体状况良好。正当光大银行不断拓展业务、冲刺H股发行时，却在信息安全问题上重重摔了一跤，甚至遭到投资者和客户的双重质疑。

前不久，权威国家信息安全测评机构受银监会委托，对光大银行网上银行和网站系统进行测试。测试中发现，光大银行网站养老金管理中心页面登录请求信息在发送至服务器的过程中采用明文传输，这将成为导致用户登录信息遭到截获的一大隐患。

同时银监会还发现光大网银存在被钓鱼网站攻击的风险：光大银行基金咨询页面和养老金管理中心页面存在钓鱼漏洞风险，由于网站应用程序未对用户的输入参数进行有效检验，恶意攻击者很可能借此诱骗用户访问含有恶意脚本代码的链接地址，窃取用户敏感数据信息。

根据该测试评估结果，银监会已要求光大银行针对相关问题制定切实可行的解决方案和整改计划，尽快实施以修复各类漏洞。

实际上，由于网上银行、基金销售等金融类网站与用户资金财产直接相关，金融行业对其网站监管一向严格，早在几年前就已通过《网上基金销售信息系统技术指引》等法律法规的制定，对行业相关网站的安全建设进行了明确要求并提出具体解决办法。这其中就包含网上基金销售网站、系统中信息传输应通过SSL技术达到一定加密强度，确保用户信息安全。该技术的应用同样适用于解决光大银行网站养老金管理中心页面信息明文传输、部分页面存在钓鱼漏洞风险导致的用户敏感信息易遭窃取的问题。

光大银行可在其基金咨询、养老金管理中心等出现上述问题的页面部署SSL证书（服务器证书），通过SSL技术建立高强度加密的信息传输通道，保证用户在线提交的信息在传输过程中不被窃取或篡改。而部署SSL证书后网站显示出的地址栏“https”开头、金色锁形标记等无法被钓鱼网站仿冒的安全特征，可帮助用户快速识别出那些确保信息加密传输的可信网站。

目前，国内许多金融类网站为获得切实有效的信息安全防护，通常会选用VeriSign扩展验证EV SSL证书。VeriSign作为全球最知名的SSL证书品牌，严格的认证流程与专业技术支持受到世界百强企业和大型商业银行及电子商务网站的认可。VeriSign扩展验证EV SSL证书除提供信息高强度加密传输外，独有的绿色地址栏与VeriSign免费提供的恶意软件扫描、信任签章功能为访问者提供了更为醒目的安全提示与直观的网站真实身份验证，有效遏制钓鱼欺诈的发生。

不仅如此，VeriSign在中国的首要合作伙伴天威诚信（iTrusChina）作为国内权威认证机构，与VeriSign愈11年的合作中，已为招商银行、中国农业银行、华夏基金、广发基金等国内上百家知名网站提供了安全服务。期间依靠丰富经验打造出的本土化专业服务团队，为每一位合作者提供着及时专业的服务与支持。