從去年10月份開始的三個月里，巴西銀行的所有36個銀行域名、企業(yè)電子郵件和DNS都被黑客控制。攻擊者利用偽造的HTTPS頁面網絡釣魚獲取用戶憑證和訪問行為，還向訪問者分發(fā)惡意軟件。

研究人員介紹稱，這可能是攻擊者通過釣魚攻擊銀行內部員工，獲取DNS的訪問權限，從而把銀行的流量定向到他們的服務器，并實現網絡釣魚和惡意軟件分發(fā)。大多數DNS服務商提供雙因素身份認證，但該銀行沒有使用這項功能，增加了DNS賬戶被盜的風險。

研究人員深入調查發(fā)現，引誘受害者輸入支付卡信息的釣魚頁面是加載到銀行域名上的，并顯示一張免費SSL證書機構頒發(fā)的有效證書。免費SSL證書僅驗證域名所有權，不需要進行其他身份信息驗證（如組織驗證、銀行驗證、電話驗證等），攻擊者控制銀行DNS后，即可輕松地匿名獲取銀行域名的免費SSL證書。

匿名惡意證書的攻擊隱匿性非常強，對于普通用戶來說，他們在正確的網站上使用HTTPS連接，一切看起來都很正常，用戶很難察覺網站已經被劫持。精通技術的用戶可能會通過查看DNS記錄或發(fā)現網站突然更換了CA而注意到網站出了問題，但在沒有任何異常的情況下，用戶很難會突然去檢查這些細節(jié)。

對于網站來說，做好以下幾點將有助于降低這類攻擊的威脅，保護網站安全：

1、對DNS更好地控制和監(jiān)督至關重要，案例中的銀行沒有使用雙因素身份驗證，使得DNS賬號很容易被盜。

2、銀行網站應使用EV級別的SSL證書。一方面，EV SSL證書需要嚴格驗證申請單位的身份，攻擊者很難申請到這類證書；另一方面，EV SSL證書顯示醒目的綠色地址欄和單位名稱，一旦頁面被劫持，醒目的綠色地址欄突然消失，會引起用戶的警覺，從而發(fā)現網站出現異常。

3、銀行還應該加強HTTPS的配置，HTTP公鑰訂（HPKP）是可選擇的SSL/TLS安全功能，通過HTTP頭部設置實現。它允許網站向客戶端提供一組被授權用于HTTPS連接的公鑰，如果客戶端連接該網站時接收的不是被授權的公鑰，它將拒絕創(chuàng)建連接。

4、證書頒發(fā)機構授權（CAA）是另一項保護網站免受惡意證書攻擊的安全措施，它是由設置DNS記錄實現，允許網站選擇可接受哪些CA頒發(fā)的證書。CA/B論壇最近投票批準了將CAA（證書頒發(fā)機構授權）作為證書頒發(fā)標準的基本要求之一，這項措施將在2017年9月正式生效。

互聯網逐步遷移到HTTPS加密后，讓網站充分展現真實身份信息變得越來越重要，教導用戶識別真實網站身份信息，免受匿名惡意證書的攻擊，是互聯網安全發(fā)展的另一重要步伐。

參考來源：Threatpost , ?thesslstore

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://caipiao93.cn/20429.html