1、案例回放
据2006年2月13日发表于《华盛顿邮报》网站上的《The new face of phishing》一文中声称,美国犹他州著名的信用合作社“Mountain America”的网站被冒用,而假冒网站上居然也使用了颁发自第三方CA认证机构的SSL证书,导致大量用户受骗上当。幸运的是,在事发当日下午2点13分,该网站被美国相关监察部们SANS Internet Storm Center及时关闭,从而避免了更大的损失。这一案例充分证明了线下鉴证工作的必要性和重要性。
引用: http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.htm
这个轰动当地一时的案件大致经过是这样的——某个冒用了“Mountain America”信用合作社之名的假网站,通过Email的方式通知用户:“您的信用卡已被自动登入了Verified by VISA程序”(该程序是VISA提供的一个用来保障“只有本人才可以在网上使用自己的VISA卡”的、合法的安全程序)。
然而,意想不到的事情发生了。当用户打开网页时,VISA网就立刻要求用户输入完整的信用卡卡号。但是,用户却发现,当输入完卡号后,再点击任何Verified by VISA网站上的链接时,都会显示“找不到该网页”的出错信息。这时,一些用户隐约感觉到,他们的用户信息可能已经被盗……!
由Visa.com生成的错误网页
2、症结所在
按道理,当网站拥有一个颁发自合法的、第三方CA认证机构的SSL证书,即可证明该网站的真实性。而且,目前所有合法的银行网站都在应用此技术。让人疑惑的是,这个假冒网站又是如何获得合法的SSL证书的呢?
最终的调查报告揭示了真相——该假冒网站使用的SSL证书,是一种鉴证流程相对简单的SSL证书,用户只需通过线上注册和简单的电话沟通,即可获得SSL证书。从而导致了该假冒网站在无需经过严格的身份审查的情况下,就轻易的获取了合法的SSL证书。此案件充分暴露了一些CA认证机构缺乏必要的鉴证流程和专业的鉴证服务。
3、解决之道
虽然业内领先的VeriSign公司从不提供不经身份验证的SSL证书产品,但大量廉价低端证书的存在,让SSL证书市场面临巨大挑战。至此,EV SSL 拥有绿色地址栏的高端证书计划得以浮出水面。经过浏览器、操作系统、SSL证书技术厂商等多方努力,2007年EVSSL正式推向市场,其首要客户便是PayPal、eBay、Travelocity、Schwab等网络领域的知名公司。2008年,随着***、最安全的网络浏览器版本在全球范围内占据了主导市场地位,EV SSL的采用率也进一步上升。
2008年上旬,VeriSign经过慎重评估,决定在欺诈钓鱼网站高发的东亚地区,正式推出EVSSL证书,其中国境内的官方合作伙伴天威诚信协助EVSSL在国内的签发。国内一些金融机构随后积极跟进,工商银行,招商银行、中信银行等机构率先完成了SSL证书升级,反欺诈钓鱼网站的克星“绿色地址栏”正式在中国开启安全之门。