假数据窃取购物网站的爆炸 NTT DOCOMO演示VR控制机器人超过5G 电池安全仍然是三星和其他手机制造商的思想 Oracle第一季度2018-19结果表明增长疲软 最佳供应链公司是数据和自动化的主人 农村企业机构密封新的宽带协议 Wannacry和Notpetya鼓​​舞人心的新攻击 在班次中,更多房主正在购买太阳能电池板,而不是租赁它们 机器人与IOT设备的安全漏洞困扰 遇见SEDRIC - 从大众汽车的无人驾驶司机 政府资助六个连接的车辆仿真项目 谷歌面临土耳其新的反垄断调查 这就是为什么自驾车可能永远不会自行车 Tibco插入Spotfire中的流数据间隙 机器人与IOT设备的安全漏洞困扰 CIO采访:Ian Cohen,Global Cio,Addison Lee Apple面临着亚马逊的强烈竞争 Apple面临着亚马逊的强烈竞争 这是谷歌云支持的为什么每人定价 数字部长表示,AI将在NHS中提高生产力 英格兰银行如何使用Splunk以获得主动安全性 四次收费,包括俄罗斯政府代理商,用于大规模雅虎黑客 Telefonica-Sigfox Pact是各种IOT网络的大量 高级公务员地址Techuk智慧状态主题 Verizon计划今年11个城市的5G试用服务 英国和盟友指责俄罗斯网络攻击运动 U.S. Drops儿童色情案件避免披露Tor漏洞 CIO引发了与Brexit相关的开发人员技能出炸的疑虑 美国面孔限制在雅虎违规者上破坏俄罗斯代理人 商业领袖期望供应商确保他们是网络安全 第一眼:新的LG G6带来了一个新的方面(比率) 启动适用于更安全的碳离子电池 元素AI团队与AI新加坡队伍 东盟公司需要克服Devops障碍 Digital CataPult为AI和机器学习推出道德框架 Mingis关于Tech:MADCAP MWC 2017 RECAP Facebook'不喜欢'按钮 - 仅限Messenger? 政府对科学技术委员会的算法报告 旧的Windows Malware可能篡改了132 Android应用程序 蒂姆厨师的'无处不在的计划'的计划在一起 运输部在数字旅程规划师投资10万英镑 艾伦图灵研究所为AI创业公司提供了与研究人员合作的机会 在机器人学旅行中携带人类的企业最多 Android获取适用于关键的openssl,媒体服务器和内核驱动程序漏洞的补丁 Hyperoptic提高了250万英镑的资金来推出全纤维宽带 欺诈性货币转移是商业电子邮件妥协的最重要目标 比尔盖茨再次成为世界上亿万富翁名单 联想将亚马逊Alexa整合到Moto智能手机 Microsoft的Visual Studio 2017命中普通可用性 全民武馆手游挂机使用教程,全民武馆波斯圣女技能大盘点
您的位置:首页 >程序人生 >

假数据窃取购物网站的爆炸

对于有效的英国零售域的证书数量,有超过6,400个数字证书,这是一个超过6,400个数字证书,这是安全公司Venafi的研究。

研究人员警告说,这将在线购物者造成不知不觉地交给其用户名,密码甚至信用卡详细信息的风险。

该研究分析了可疑域名,瞄准英国,美国,法国,德国和澳大利亚的前20名零售商。

所有五个地区的外观域的证书总数超过200%,比正宗零售域的数量大,前20名美国零售商中的一个有超过12,000个针对客户的看似相同的域名。

研究人员表示,主要零售商为网络犯罪分子提供了更大的网络罪犯目标,随着Spee-Alike域的增长,似乎与自由安全套接字层(SSL)和传输层安全(TLS)证书的可用性相连。

他们发现研究了84%的看似相似的域名和英国学习的81%的人使用免费的证书,让我们通过互联网安全研究组作为服务提供的免费证书,自由,开放和自动证书颁发机构(CA)( ISRG)。

随着在线购物的速度增加,研究人员表示,客户正在通过查看URL中的几个字符来创建的Cyik-Alike域来针对性。

因为他们指出了模仿合法,众所周知的零售网站的恶意在线购物网站,因此客户可以越来越困难地检测假域。此外,鉴于这些恶意页面中的许多使用可信SSL / TLS证书,它们似乎是安全的在线购物者,在不知不觉提供敏感的帐户信息和付款数据。

“域名欺骗始终是一个基于网络攻击的基石技术,它专注于社会工程,而加密所有网络流量的运动不屏蔽合法的零售商代购,”Venafi的高级威胁情报分析师Jing谢说。

“BecaUsemalious Domainsnow借鉴了合法的TLS证书,许多公司认为证书发行人应该承担审查这些证书的安全的责任。尽管最佳实践的重大进展,但这是一个非常糟糕的想法, “ 她说。

据谢谢,任何组织都不应专门依赖于义务当局来检测可疑证书请求。“例如,网络攻击者最近为NeweGG设置了一个看起来一般的域名,一个月有超过5000万游客的网站。

“Spee-Alike域使用Cawhofollow的可信TLS证书所有最佳实践和基线要求。她说,这个网络钓鱼网站被用来窃取一个月超过一个月的帐户和信用卡数据,“她说。

根据Venafi的研究,研究的每个在线零售商都是针对性的。研究人员警告说,随着年末的购物季节方法,看起来可能会增加视野相似的域名。

“为了保护自己,企业需要有效的手段来发现域具有很高的概率,对麦哲后的语调和分析证书透明日志,”谢。

“这样,他们可以利用最近的行业进入Spothigh-Riskic证书注册,在他们造成伤害之前,他们造成损坏的人的进步,”她说。

发现恶意域的在线零售商可以采取几个步骤来保护客户,包括:

使用Google Safe Brows搜索和报告可疑域名,该服务识别和黑名单危险网站的行业反网络钓鱼服务。向反网络钓鱼工作组(APWG)进行识别和黑名单危险网站,这是一个专注于通过网络钓鱼限制犯罪的国际志愿组织。将证书颁发机构授权(CAA)添加到DNS记录域和子域,以确定哪些CA可以为其拥有的域发出证书。使用版权侵权软件来搜索可疑域,查找恶意网站并停止未经授权使用其徽标或品牌。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。