網絡攻擊/罪案 防禦

14,766個假PayPal網站橫行網絡 用戶如何區分真假?

Eric Fan
作者 Eric Fan

不少釣魚網站以含有付款服務PayPal的域名成功申請SSL認證,披上「安全網站」的羊皮,明目張膽索取用戶的帳號資料。由去年1月起至上月為止,免費CA Let’s Encrypt便向「PayPal網站」發出15270份SSL認證,但研究人員抽樣檢查後,發現「釣魚率」高達百分之97,預計有14,766個是釣魚網站!

安全網站有沒有明顯的特徵?Google ChromeHTTPS小綠鎖應該是其一,不過它也不是「萬能」的 ,它只能象徵其中一種安全指標:加密通訊。HTTPS小綠鎖代表該網站已採用加密通訊技術,並得到憑證授權單位 (CA) 發出的安全性憑證(SSL),具備防範「中間人攻擊」和第三方監控的能力。

超人都有弱點,何況SSL認證制度?

不過,不法之徒一樣可以申請認證,一樣可以取得到Chrome的「安全」標記!早前有研究人員就發現,不少釣魚網站以含有付款服務PayPal的域名成功申請SSL認證,披上「安全網站」的羊皮,明目張膽索取用戶的帳號資料。由去年1月起至上月為止,免費CA Let’s Encrypt便向「PayPal網站」發出15270SSL認證,但研究人員抽樣檢查後(Bleeping Computer報導),發現「釣魚率」高達百分之97,預計有14,766個是釣魚網站!加密通訊不能確保網站的正當性,因為惡意網站也可以注重受害者的私隱!

假PayPal網站幾可亂真,不過看域名還是有明顯分別的。(圖:The SSL Store)

Let’s Encrypt會被人濫用,一來是因為它提供免費及自動化的認證服務,二來則是因為商業CA的認證程序相對較嚴格。SSL證書申請者的域名如果包含PayPalGmailAppleID等熱門字詞,商業CA很可能會拒絕申請,因為這些網站一旦被挪用便後患無窮。與他們相反,Let’s Encrypt則以便利、普及為己任,申請過程中強調無人手操作,一切步驟都由程式代理;本意雖是推廣業界使用HTTPS,但申請程序簡化了,漏洞也隨之出現。

HTTPS知多點:有綠鎖就安全?

兩個網站也有SSL認證,誰真誰假?左面的PayPal認證為Extended Validation Certificate,認證程序更謹慎。(圖:Tesla Explain)

破解方法:放大鏡看域名Domain!

作為用戶,我們可以做的不多,卻是最關鍵的一步——不要盲目信任HTTPS!即使網站有大大個「綠鎖」標誌,用戶也要仔細檢查網址,例如PayPal,你打開的網站的完整網址是 www.paypal.com/ 還是www.paypal.com.XXXXX?(XXX可以是任何字詞)因為正式的PayPal網站網址中,「.com」後一定是「/」,然後才是副域名;但假的PayPal網站則是在「.com」後直接加上其他字眼,如「paypal.com.login-myaccount」、「paypal.com.account.update」等 ,試圖魚目混珠扮作正式網站。各位拜訪需要輸入帳戶資料的網站時,記得要打醒十二分精神!

部份被發現的假PayPal網站域名(圖:Bleeping Computer)

封面圖片:IBTimes UK

Leave a Comment