新闻快讯
< >

HTTPS是“铠甲”还是“软肋”?

E安全1月18日讯 犯罪分子尚未直接利用英特尔“Meltdown”(熔断)和“Spectre”  (幽灵)两大漏洞,一时间Meltdown与Spectre 漏洞成为热点话题,引起PC用户不小的慌乱,攻击者乘虚而入利用用户这种情绪大肆传播恶意软件并发动钓鱼攻击。加之越来越多的虚假钓鱼网站采用SSL加密机制,用户因此容易放松警惕,进而中招。

攻击者利用英特尔“熔断”和“幽灵”热点发起攻击

德国联邦安全与IT办公室(BSI,职能相当于美国的国家安全与信息技术局)近日发布公告警告:网络攻击者冒充其发布了“关于Meltdown与Spectre攻击信息”的垃圾邮件,该邮件中包含指向修复补丁的页面链接,实际上指向一个伪造的BSI网站,点击该链接的用户的设备(PC或智能手机)将被恶意软件感染。

德国联邦安全与IT办公室(BSI)警告用户切勿点击其它类似电子邮件中的链接或者任何附件文件,应直接将其删除。若已经打开伪造网站的用户,则千万不可下载其中提供的所谓安全更新。

这些看似来自官方的仿冒电子邮件会向用户提供一条指向某ZIP归档的链接,该归档中包含伪造Windows补丁,其真正身份为恶意软件,能够检索其它有效载荷。

Windows Meltdown-Spectre:当心假补丁成恶意软件扩散帮凶-E安全

攻击者利用SSL加密机制让用户放松警惕

正如目前的众多其它钓鱼网站一样,伪造BSI页面同样启用了SSL加密机制,这意味着其能够通过在浏览器地址栏中显示安全挂锁符号的方式欺骗受害者。攻击者还在.bid通用顶级域名中注册了BSI的部分德文名称。

Malwarebytes公司研究人员指出,该钓鱼网站的链接指向的是Smoke Loader恶意软件的安装程序,其可进一步安装其它恶意软件。

该领先BIS网站中包含一条指向某ZIP归档的链接,其名称被误导性地设置为“Intel-AMD-SecurityPatch-11-01bsi.zip ”。一旦运行其中的可执行文件,受害者将在无法察觉的情况下安装Smoke Loader,该恶意软件随后会调用某些托管于俄罗斯的域名。

目前该钓鱼网站已经无法正式访问。研究人员提到仍有不少使用.bid域名的其它网站托管有用于伪造Flash Player更新的德文模板——这显然是欺骗众多受害者安装恶意软件的另一种常见伎俩。

钓鱼网站HTTPS采用率更高

研究人员写道,“网络犯罪分子会利用高知名度事件快速行动,特别是通过网络钓鱼攻击侵扰受害者。这种作法值得关注,因为人们误认为是安全修复补丁的东西,实际上却是骗子精心设计的糖衣炮弹。”他同时补充称,HTTPS链接并不一定值得信赖。最近由安全厂商PhishLabs公司发布的一份报告显示,钓鱼网站采用HTTPS的比例实际上要比普通网站更高。

在2017年第三季度,四分之一的钓鱼网站已经开始使用HTTPS,这一比例远高于2016年的3%。钓鱼者们之所以积极利用HTTPS,是因为这种额外的安全性保障机制能够给人留下合法的固有印象。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。