一、网络钓鱼事件频发,网络安全须重视

网络钓鱼相信大家一定都不陌生。网络钓鱼是一种特殊形式的社交工程,网络钓鱼者一般不会像垃圾邮件那样盲目地将成千上万的邮件发送给随机用户,而是往往有着具体目标,通过电子邮件或恶意网站来发起,或利用恶意软件、病毒或其它恶意代码来破坏用户的计算机,窃取用户机密信息以获利。

● 2021年,东京奥运会出现148个钓鱼网站,已出现1753个与东京奥运会和残奥会官方网站相类似的域名,其中148个可能被以盗取个人信息等为目的的恶意虚假网站所使用,有东京奥运会购票者与活动志愿者的用户名和密码遭遇了泄露。

● 2021年,卡巴斯基发现,大量的攻击都是通过伪装成难以检测的钓鱼邮件发起的,攻击者攻陷企业组织的邮箱,滥用企业邮箱的联系人信任发起攻击,造成数千工业组织的企业电子邮件账户失窃,被滥用进行下一次攻击。

● 2022年1月5日,B站企业邮箱发全员钓鱼链接致多员工被骗,受骗金额达8万元。

● 2022年1月6日,“重狗”组织分析报告指出,发生面向企业邮箱的大规模钓鱼,仅 8 小时就监控到有 343 家企业,覆盖中国和美洲地区,其中不乏智能制造、高校、医疗和金融等行业,共计 359 个账号受害。

诸如上述案例数不胜数,希望大家引起重视,在日常上网生活中提高网络安全意识,首先要做好安全防范,避免陷入网络钓鱼诈骗陷阱,保护好自己的财产安全。那么,什么是网络钓鱼,怎么甄别呢?

二、什么是网络钓鱼?钓鱼攻击如何运作?

1、网络钓鱼:

网络钓鱼是一种欺诈形式,一种网络犯罪。攻击者会伪装成信誉良好的实体或个人通过电子邮件或网站或其他通信渠道,使用网络钓鱼电子邮件或网站等分发可执行各种功能的恶意链接或附件,受害者在不知情的情况下点击并输入信息,不法分子便从中提取登录凭据或帐户信息,造成受害者财产损失;或者自动下载恶意软件,让受害者使用恶意软件感染自己的计算机。 网络钓鱼很猖獗,危险性很高。

2、网络钓鱼的运作方式:

对于广大用户来说,比较常见的攻击流程是:从用户打开恶意页面,恶意程序就开始进行敏感信息收集,然后将结果提交给攻击者。
更复杂点的钓鱼攻击就是在上述的基础上加几行代码,或者在网站挂木马软件。这样在网民访问这些门户网站的时候木马就会顺着他的访问请求入侵他的电脑。用户在访问页面时是正在加载的图标,但是几秒后,会重定向回正确的站点(甚至直接定向到原来的登录页面)。这个时候,实际上你还没有登录,但是你的登录信息以及发送给了攻击者,攻击者便可以利用这些信息转移你的财产。
还有甚者,针对商业用户进行网络钓鱼,在这种情况下,攻击者还可能伪装成来自同一组织或其供应商之一的人,要求下载他们声称包含有关合同或交易信息的附件,将勒索软件或系统捆绑到僵尸网络中,以达成诈骗或勒索的目的。

三、有哪些常见的钓鱼手段?

四、用户如何识别钓鱼网站/邮件?

1、始终保持警惕

在点击任何链接并在任何网站上输入帐户详细信息之前,需要格外小心,务必仔细检查电子邮件接收员。通过识别操纵和伪造的电子邮件地址,可以避免陷入大量网络钓鱼电子邮件。

2、认真检查网址、域名

伪造的消息通常包含暴露其真实身份的微妙错误。这些可能包括拼写错误或域名更改等。注意发件人的电子邮件地址,如果电子邮件地址似乎不是来自真实的公司提供的帐户,或似乎与您以前从公司收到的电子邮件不一致,那么这很可能是一个潜在的危险信号。

3、在访问网站时重视安全证书警告

当网站SSL证书过期或者无效时,浏览器会显示安全警告以提示当前登录网站的安全证书无效,或是由不受信任的CA机构颁发的SSL证书。您应该退出浏览或检查网站的真实性。

五、网站运营者该如何防止被网络钓鱼?

1、从网站自身做起,网站https化可以为网站自身提高安全封闭的环境

部署SSL证书可以确保企业官方网站与用户之间发生的所有通信都是加密的。越来越多的网站使用SSL来保护卡号信息、数据传输、登录页面和各种网站,包括博客和社交媒体网站。在网站上启用https不仅让消费者相信网站是合法的,浏览和交易是安全的,而且谷歌等各大主流浏览器也鼓励网站启用https,对于没有SSL证书的网站,浏览器会发出“不安全”警告。

2、推荐安装OV SSL或EV SSL证书防范钓鱼网站

现如今,谷歌等各大浏览器会对http开头的网站发出“不安全”的警告,而这对于网络不法分子来说,不利于他们行骗。因此,越来越多的不法分子网站也安装了SSL证书,以消除这种“不安全”的警告,从而获取用户信息。但不法分子一般会选择基础型的DV SSL证书,这种证书只需要验证域名管理权限,不需要验证网站真实信息,使得不法分子有机可乘。安装OV SSLEV SSL证书需要验证企业信息,在证书中向用户展示真实可信身份,塑造企业网站可信形象。

3、使用邮件加密服务

使用电子邮件系统的加密通信系统(如密信APP),确保所有消息以电子邮件方式全程端到端加密,所有机密信息在发送前就已经变成密文,从发送到接收全程都是加密的,并加密存放在您的电子邮箱中,并展示可信身份认证,让电子邮件有身份、有时间戳、防欺诈。

六、使用HTTPS加密的好处

从上文不难看出,无论是对普通用户还是网站运营者来说,部署SSL证书都是防范网络钓鱼的一个极其重要的手段!部署SSL证书的网站无疑更加安全可信!

  • 防窃取、防篡改

    HTTPS加密保护传输数据 机密性、完整性,防止数据在传输过程中被窃取或篡改。

  • 防钓鱼网站假冒

    SSL/TLS协议具有身份验证功能,可验证服务器真实身份,防止钓鱼网站假冒。

  • 防止流量劫持

    启用HTTPS加密有效解决任意网络节点的流量劫持、中间人攻击等安全威胁。

  • 消除浏览器“不安全”警告

    浏览器强力推动HTTPS加密普及应用,将所有HTTP页面标记“不安全”。

  • 满足iOS安卓网络安全策略

    同等产品规格,价格更具竞争力,并享有专业服务支持,享有OCSP本地化等产品增值性能。

  • 下一代协议HTTP/2仅支持HTTPS

    所有主流浏览器只支持使用高版本TLS协议安全连接的HTTP/2协议。

七、SSL证书推荐

  • 超快SSL 通配型

    HTTPS加密传输数据

    支持所有浏览器及终端

    仅验证域名所有权

    自适应加密

    支持通配域名

    咨询下单
  • 超真SSL 通配型

    HTTPS加密传输数据

    支持所有浏览器及终端

    验证展示所属单位身份

    自适应加密

    支持通配域名

    咨询下单
  • 超安SSL 多域型

    HTTPS加密传输数据

    支持所有浏览器及终端

    验证展示所属单位身份

    自适应加密

    支持通配域名

    咨询下单

八、沃通CA权威优势

  • 合规可信机构

    获得工信部《电子认证服务许可证》、国密局《电子认证服务使用密码许可证》等多项国家许可,具备合规资质。

  • 深耕SSL证书领域

    SSL证书服务商众多,资质和技术服务能力参差不齐。沃通深耕SSL证书领域十余年,具备值得信赖的合规资质和专业服务能力。

  • 知名政企信赖之选

    已服务国家部委、地方政府、知名电商、金融证券、教育机构等海量知名机构网站及个人网站,超几十万网站应用案例。

SSL证书相关阅读