Zero
Come la stagione delle vacanze si avvicina, quindi non la possibilità per i criminali informatici per ingannare gli acquirenti fuori del loro duro-guadagnati fondi.
Secondo Experian dati, shopping online frode attacchi è aumentato del 30 per cento nel 2017 a partire dal 2016.
Gli acquirenti possono essere truffati in un numero di modi. E-mail di Phishing possono essere inviati che tout dovrebbe last-minute sugli auspicabile elementi; i dettaglianti potrebbero non riuscire a implementare la crittografia sicura sul loro domini, che può portare a Man-in-The-Middle (MiTM), gli attacchi, o gli acquisti possono essere effettuati su siti web fraudolenti.
Giovedì, ID della macchina di protezione azienda Venafi ha detto quest’ultimo è un problema che sta aumentando la portata, con una “esplosione” di look-alike, fraudolenta domini apparire online.
Dopo aver analizzato i domini sospetti creati per simulare la top 20 dei rivenditori in USA, regno UNITO, Francia, Germania e Australia, l’azienda ha scoperto che non solo è il numero di falsi domini in aumento, ma molti di loro usano un attendibili certificato TLS.
Uno dei top retailer americani, per esempio, ha oltre 12.000 falsi domini targeting la sua base di clienti.
CNET: Trump OKs ‘offensivo cyber operations’ come deterrente contro di NOI rivali
Combinare questo con un indirizzo di dominio che sostituisce solo pochi caratteri e può passare quando gli occhi dei visitatori brillantezza su di esso e si dispone di un problema.
Secondo Venafi, sta diventando “sempre più difficile” per i consumatori per separare i domini illeciti da quelli legittimi. Quando attendibile certificato TLS è gettato nel mix, siti web fraudolenti possono apparire sicuro come luoghi per fare shopping online.
Vedi anche: Infinite Campus attacco DDoS impedisce l’accesso ai dati degli studenti
“Dominio spoofing è sempre stato una pietra miliare della tecnica di attacchi a siti web che si concentrano sul social engineering, e il movimento per crittografare tutto il traffico web non scudo legittimo rivenditori contro questa tecnica molto comune”, ha detto Xie Jing, Venafi senior minaccia analista di intelligence. “Perché domini malevoli ora deve avere un legittimo certificato TLS per il funzionamento di molte aziende si sentono che il certificato di emittenti dovrebbero avere la responsabilità di vagliare la sicurezza di questi certificati.”
TechRepublic: la conformità PCI scivolare per la prima volta in 6 anni, ma resta in vetta
La ricerca in oggetto ha rivelato che molti domini illeciti contare su certificati, che sono gratuiti, come quelli offerti da Let’s Encrypt. Purtroppo, questo servizio è stato abusato per infondere fiducia nei potenziali vittime-e non c’è modo per CAs per conoscere le intenzioni del webmaster registrazione gratuita certificati di sicurezza.
Il recente exploit di minaccia gruppo Magecart sono un ottimo esempio di come negozi di frode può avere un impatto sia per i consumatori e rivenditori. Uno dei hacking dell’outfit ultime vittime, negozio Newegg, possiede il dominio newegg.com. Magecart registrato un dominio che si chiama neweggstats.com insieme con un legittimo certificato rilasciato da Comodo.
Il legittimo dominio è stata compromessa con una carta di skimmer e il falso dominio è stato indicato un server che ha ricevuto informazioni della carta di credito rubata da Newegg clienti.
In totale, 84 per cento dei domini illeciti esaminato in Venafi rapporto certificati da Let’s Encrypt funzione.
Venafi dice che il numero totale dei certificati rilasciati per i domini masquerading come legittimo, ben noti rivenditori è di oltre il 200 per cento superiore al numero rilasciato autentica piattaforme di e-commerce.
“In definitiva, dobbiamo aspettarci ancora più dannoso sosia di siti web progettati per l’ingegneria sociale per pop-up in futuro,” Xie, dice. “Al fine di proteggere se stessi, le imprese hanno bisogno di strumenti efficaci per scoprire i domini che hanno un alta probabilità di essere maligni, attraverso il monitoraggio e l’analisi del certificato di trasparenza registri.”
“In questo modo si possono sfruttare molte delle più recenti industria anticipi a spot ad alto rischio, certificato di iscrizione, paralizzante siti dannosi prima che possano causare danni, togliendo loro certificati”, il ricercatore aggiunto.
Precedente e relativa copertura
Android spyware in sviluppo saccheggia i dati di WhatsApp, conversazioni private Apple MacOS Mojave zero-day privacy vulnerabilità di bypass rivelato Vulnerabile ai componenti open source adozione aumenta in impresa
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0