Netcraft报告: let's encrypt和Comodo发布成千上万的网络钓鱼证书

Netcraft调查显示，2017年1季度发现数以万计的有效SSL证书颁发给具有明显网络钓鱼和诈骗意图的域名，其中由let's encrypt和Comodo发布的免费SSL证书占到了96%。

 

在2017年1月1日到3月31日期间，Netcraft已经拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截，而不是拦截特定的子目录。在被完全拦截的网站中，61%使用了Let's Encrypt颁发的证书，36%使用了Comodo颁发的证书。

 

 

MozillaFirefox的遥测报告显示，大约55％的页面加载都是通过HTTPS。向安全互联网迁移对于防范未加密流量带来的风险至关重要，能够轻松获取到有效证书是近期HTTPS页面增长的关键因素。然而，利用HTTPS站点值得信赖的认知，轻松获取到有效证书也为欺诈者提供了机会，大量证书颁发给了明确具有欺诈性的域名也证明了这一点。

 

看看少量被拦截的欺诈指数较高的具有有效证书的钓鱼网站样本：

 

 

Let'sEncrypt在网络钓鱼和恶意软件方面的政策是检查安全浏览API，这不能对预签发的证书提供有效拦截。这和自动化证书部署并不匹配，因为在自动化证书部署时，在颁发和安装证书时，有关钓鱼的内容可能还未被上传、检测和拦截。Let's Encrypt还有一个有限的域名列表，他们会阻止向这些域名颁发证书。尽管有安全浏览检查和基于域名的额外拦截，但Netcraft还是发现很多钓鱼网站的证书是由Let's Encrypt颁发的。

 

钓鱼网站https://www.instagram.com-getid.com（欺诈性指数为9.46）

 

这些钓鱼网站对使用TLS是极其危险的，因为使用TLS的网站被看做可信站点，且由一些合法机构运营。消费者一直受到这样的指导：在向网站提交如密码和信用卡号等敏感信息前，在浏览器中寻找挂锁、安全指示标志和地址栏中的“https://”。

但是，仅显示挂锁或“安全（Secure）”指示标志并不意味着使用TLS的网站是可信的，或是由合法机构运营的。连接的安全性和向HTTPS站点提供敏感信息的安全性之间是有区别的，对那些不熟悉TLS技术基础的人来说，解释这个区别非常困难。

为了展示解释这种技术区别上的难度，谷歌Chrome浏览器通过在地址栏显示“安全（Secure）”这个单词来表明一个HTTPS连接使用的是有效的TLS证书。而“安全（secure）”这个单词是指，为防范窃听者而对加密连接进行保护，并通过在下拉菜单显示“私有”这个单词。虽然这对用户来说意义可能很重要，但两者之间的区别却是很微妙的。但需要注意的是，谷歌已经最先开始研究怎样让广大互联网用户了解安全指示标志。

谷歌Chrome和Mozilla Firefox浏览器最近已经更改了在非TLS站点上的密码输入框的显示——非安全表单现在会触发警告。这些警告很可能会促使钓鱼网站更多的采用TLS，骗子们会为了在收集密码时获得“安全（Secure）”标志并避免出现负面标志而部署TLS。

在被Netcraft完全拦截的具有有效TLS证书的19700个主机名中，有72.5%的域名欺诈性指数超过5.0，有49%超过7.0（指数范围是0.0到10.0）。作为对比，在2017年4月Netcraft进行的SSL抽样调查中发现的2017年2月颁发的域验证证书中随机抽取10000个主机名，其平均域名欺诈性指数为0.72，有7%超过5.0，4.4%超过7.0。

被拦截的具有有效TLS证书的钓鱼网站的域名欺诈性指数分布

 

 

 

参考来源：Netcraft