Nul
Da feriesæsonen nærmer sig, så har de mulighed for it-kriminelle at snyde kunder ud af deres hårdt-tjente penge.
Ifølge Experian data, online shopping bedrageri angreb steg 30 procent i 2017 fra 2016.
Shoppere kan blive snydt i en række måder. Phishing-e-mails kan sendes som tout meningen, sidste-minut tilbud om relevante emner; detailhandlere kan undlade at gennemføre en sikker kryptering på deres domæner, som kan føre til, at Man-in-The-Middle (MiTM) angreb, eller køb kan foretages på bedrageriske hjemmesider.
På torsdag, maskine-ID beskyttelse firma Venafi sagde, at sidstnævnte er et problem, som er øget i omfang, med en “eksplosion” af look-alike, svigagtig domæner vises online.
Efter at analysere mistænkelige domæner, der er skabt til at efterligne den top 20-forhandlere i USA, STORBRITANNIEN, Frankrig, Tyskland og Australien, selskabet fandt, at det ikke kun er antallet af falske domæner stiger, men mange af dem bruger en tillid til TLS-certifikat.
En af de øverste AMERIKANSKE detailhandlere, for eksempel, har mere end 12.000 falske domæner målrette sin kundebase.
CNET: Trump OKs ‘offensiv cyber-operationer’ som afskrækkende i forhold til AMERIKANSKE rivaler
Kombiner dette med et domæne-adresse, der kun træder i stedet et par tegn og kan bestå, når besøgendes øjne glans over det, og du har et problem.
Ifølge Venafi, at det bliver “sværere” for forbrugerne at adskille svigagtig domæner fra legitime. Når en betroet TLS-certifikat er kastet ind i blandingen, bedrageriske websteder, der kan vises sikre steder at shoppe online.
Se også: Uendelig Campus DDoS-angreb hæmmer adgang til at elevens data
“Domain spoofing har altid været en hjørnesten teknik web-angreb, der fokuserer på social engineering, og bevægelsen til at kryptere alle web-trafik, der ikke skjold legitime forhandlere mod dette meget almindelig teknik,” sagde Jing Xie, Venafi senior threat intelligence analytiker. “Fordi skadelige domæner, som nu skal have et legitimt TLS-certifikat for at kunne fungere, er mange virksomheder føler, at certifikat udstedere skal eje ansvaret for at kontrollere sikkerheden af disse certifikater.”
TechRepublic: PCI overholdelse glider for første gang i 6 år, men DET er stadig på toppen
Virksomhedens forskning i emnet viste, at mange falske domæner stole på certifikater, som er gratis, såsom dem, der tilbydes af Lad os Kryptere. Desværre, denne service er blevet misbrugt til at indgyde tillid til potentielle ofre — og der er ingen måde til CAs kender hensigter webmastere tilmelding til gratis sikkerheds-certifikater.
Den seneste bedrifter trussel gruppe Magecart er et mønstereksempel på, hvordan shopping svig kan påvirke både forbrugere og forhandlere. En af hacking outfit ‘ s seneste ofre, USA detailhandler, Newegg, ejer domænet newegg.com. Magecart registreret et domæne der hedder neweggstats.com sammen med en legitim certifikat, der er udstedt af Comodo.
Den legitime domæne blev skadet med en kort skimmer og den falske domæne var henvist til en server, der har modtaget kreditkortoplysninger stjålet fra Newegg kunder.
I alt 84 procent af den svigagtige domæner, der er undersøgt i Venafi brug af gratis kvoter fra Lad os Kryptere til at fungere.
Venafi siger, at det samlede antal udstedte certifikater for domænerne forklædt som legitim, kendte detailhandlere er over 200 procent større end det antal, der er udstedt til autentisk e-commerce platforme.
“I sidste ende, bør vi forvente endnu mere skadelig lookalike hjemmesider designet til social engineering til at dukke op i fremtiden,” siger Xie. “For at beskytte sig selv, virksomhederne har brug for effektive metoder til at opdage domæner, der har en høj sandsynlighed for at være skadelig gennem overvågning og analyse af certifikat gennemsigtighed logs.”
“På den måde kan de udnytte mange nye landvindinger til at spotte høj-risiko certifikat registreringer, lammende ondsindede websteder, før de forårsager skader ved at tage væk deres certifikater,” den forsker, der er tilføjet.
Tidligere og relaterede dækning
Android-spyware i udvikling plyndrer WhatsApp data, private samtaler Apple MacOS Mojave nul-dag privatliv bypass sårbarhed afsløret Sårbare open source-komponent vedtagelse skyrockets i virksomheden
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0