如何利用複製網站和SSL憑證來詐騙及如何破解的技術(中)
這一篇內容呢是延續上篇所說,當我們在網路上購物時,要如何保護自己的權益,首先
呢,我們要先確定幾件事情:
1.購物時絕對要認清網址:
只要您連到一個網站,他前面的網址是由許多數字所組成(例如 http://201.123.01.67/yahoo/
buy.php ),那麼您就必須提高您的警戒心到最大,這極有可能是一個有問題的網站,因為
一個公司網站的經營者絕對不會讓自己的網站以這種方式讓客戶上線購物,當然,如果
有人故意把網站的網路IP放上去,是可以用IP的方式來連線的,在這裡教您辨識網站網址
的方法:
a.查詢主機所在位置
您可以使用下面教您的方式去測一下這台主機是放置在什麼地方。
請連結到這個網站 http://www.linkwan.com/visualroute/
這是一個虛擬網路路由偵測的服務,只
要您將要查詢的IP位址貼上去,就可以查詢它的主
機在世界上的哪個位置,如果發現繁體中
文的網站,主機卻在大陸或在美國,那麼請多
小心,雖然為了成本考量可能放在較便宜的國
家,但是如果主要客戶在國內,為什麼要
捨棄對國內連線較快的國內機房,而要放在國外呢?
所以,到一個網站請先注意它的網址
是否正常易辨識。
b.查詢網域所有權
如果結尾是TW的您可以放心一點點,因為台灣之前是有查公司執照和營利事業登記證的
,可是從去年開始因與國外網站結盟共同銷售.tw的網域名稱,所以已經不用附了,查詢
網址為http://www.twnic.com.tw
您可以在這裡查到該網站的所有人資料,請注意看所有權人登記的資料是否與網站上公告
的相符,不過一般來說,這都只是個參考,如果該網址是國外的網址,您可以連到
http://whois.nic.net/
,不過一樣是當作參考囉,Domain登記資料裡面都有登記連絡電話,您
可以試著打看看會不會通囉。
c.檢查網頁目前真正連結位置
請在網頁空白處按滑鼠右鍵來檢查目前頁面真正的連結位址,如果網址列顯示正確網址,
但是網頁內容說明卻出現IP表示的連結,那這個網頁有九成九有問題,雖然該頁面可能會
將網址作編碼,或者將頁面設定禁止滑鼠右鍵,不過只要選擇瀏覽器上面功能列的[檔案]
,再選擇[網頁內容],一樣可看到真正的連結,至於編碼的網址,只要到網路上找提供解
碼服務的網站來解開即可。
2.請注意SSL憑證內容
一般來說購物網站都會在首頁或者是登入或結帳頁面放置認證安全標章,因為可以增加
網友的信賴感,而且也可以讓消費者點選後查看該憑證的登記資料,所以一個正派經營
的網站裡一定會看到網路安全機制的相關說明,而在這裡指的憑證內容是指兩部份:
a.認證標章
認證標章是網站有安全加密的象徵,也是能提高消費者購買意願的一個視覺因素,也許有
些消費者不知道那是什麼,以為只是另一個廣告圖標,但是目前大部份的消費者已經都知
道網站有加密與沒加密的分別,雖然細節並不清楚,不過消費者在每個購物網站都已經被
教育要去認識 那個標章一下, 所以看到時也會覺得,嗯~本來就應該會有的,他們也許不
知道右下角有一個鎖頭,但是卻覺得有標章就安全了,現在,請各位消費者要注意了,一
般的認標標章圖片複製一下就有了,填信用卡前請記得點看看,看看登記的內容和你現在
上的網站是不是一樣,下面教您如何辨識各家的標章
廠商名稱與標章 |
說明 |
偽造或欺騙難度 |
網際威信
Hitrust
|
全球安全網站認證標章,這是 Hitrust所提供之SSL安全標章,屬於知名度較高的標章,不過卻是最容易複製的一個標章,完全無任何保護,所以也是被假造的第一人選,請看到此標章一定要記得點選一下,看看資料和網站所顯示的是否相符,不過該標章雖然有中文說明卻沒有提供任何中文的認證資料,所以當您看到一個英文的公司名稱,我想大部份的人還是不知道那是哪一家公司吧。
所以綜合以上說明將優缺點說明如下。
優點:知名度高,給消費者較高的信賴感
缺點:圖標最容易複製、無保護設置、標章內容無中文資料
|
最簡單 |
寰宇數位
GlobalTrust
|
GlobalTrust全球安全數位認證標章,這是GlobalTrust SSL伺服器憑證所使用的標章,在這個標章裡有一層保護,那就是TrustLogo服務,只要滑鼠停在這個標章上,會動態出現一張認證證書圖示,裡面有憑證的所有人及地址,如果要直接複製該標章是無法複製的,即使用抓螢幕畫面的方式,也只能抓下該圖,但是無法複製該TrustLogo的動態標章功能,如果是把原始碼直接複製,該TrustLogo標章將顯示該網站無法被辨識,是未授權的網站,所以安全度極高,寰宇數位同時提供另一枚寰宇數位的認證標章,提供其他安全訊息,包括中文認證資料、網域所有權確認、公司登記資料確認、遠端SSL憑證內容確認,標章置放來源確認等等,所以您可以一一去確認該網站的所有資料,就算該憑證被放在假的網站也可以確認而警告消費者。
優點:圖標極難被複製使用、雙重保護設置、中文認證資料提供、 多項額外安全服務
缺點:知名度較低
|
最困難 |
寰宇數位
Thawte
|
Thawte安全認證標章,原本台灣網名科技代理,國際知名度高但台灣使用者少,故網名科技結束該業務,目前寰宇數位為Thawte的官方夥伴,提供Thawte的各項產品服務,舊版的標章很容易被複製,但在新版的標章服務,則提供防滑鼠右鍵複製及內崁時間戳記,會將日期填在圖標內,提高部份複製難度,在辨識時請注意標章上的日期和您的日期是否相符,如果不一樣那一定是偽造的網站。
優點:國際知名度稍高、圖標複雜難度稍高
缺點:本身無中文認證資料(由寰宇數位標章提供)
|
較不容易 |
寰宇數位
GeoTrust
|
GeoTrust安全標章,GeoTrust為一標準的SSL憑證,雖然瀏覽器支援度較低,但價格也低,適合給公司內部及B2B間已經互相信賴之場合使用,也適合給公司的Web Mail服務和FTP服務加裝使用,該圖標同Thawte憑證也內崁了時間戳記,但是因其只認證網域所有權,所以不適合當作電子商務網站的安全認證,故如果該網站是使用此憑證,您可以確定該網站已經提供了加密服務,但是請不要輸入太重要的資料,因為不知後面接收資料的人到底是誰,除非您已經確定了這的確就是正確的公司所申請及架設的網站,如果您並不認識他們公司,或無法確定是他們公司的網站,請保留您的重要資料吧。
優點:圖標複雜度稍高
缺點:無中文資料,容易申請(15分鐘內系統自動審核完畢)所以容易使用假資料來申請
|
較不容易 |
台灣網路認證
TaiCA
|
TaiCA安全認證標章,台灣網路中心為台灣的公司,所以國外的網站並不會使用,如果看到英文網站卻使用了TaiCA的憑證,請注意一下是否為台灣的不法份子所偽造,TaiCA的標章本身和網際威信相同,完全無任何保護,所以看到標章仍然無法確認其是否安全,請一定記得點選右下角的鎖頭看看,因為即使點選圖標都無法確認該網站是否安全,因為該網站可能是複製別的網站認證標章來魚目混珠。
優點:提供中文訊息
|缺點:國際知名度低、無標章保護、
圖標容易複製假造
|
最簡單 |
b.鎖頭內容
不管憑證標章是使用哪一種,用滑鼠在鎖頭點兩下是最正確的資訊,不過這只能看看登記的資料
,無法證名這個網站是安全的喔,但是至少請檢視憑證內容與網站是否相符,例如是否是由公信
的第三者所核發,發給的網址是否相符,到期日是否過期,其實這些資料在用瀏覽器連線時會自
動檢查,不過它只能檢查對不對,如果是0和o,或者是1和 I 是沒有辦法告訴您有什麼問題的。
3.不管作什麼先別急
網站上的廣告或說明都是催促您趕緊下決定,不論是用優惠的價格吸引你去寫卡號,或者是銀行
的帳 號莫名其妙就被盜要你改密碼,都請先冷靜一下,到處查證一下,這東西真的有那麼便宜
嗎?銀行保安真的那麼差嗎?系統升級通常資料庫不會有影響,就算連資料庫一起升級,那麼資料
也會被移轉到新的資料庫,不會有銀行冒者資料損壞的風險去更新自己的系統,多打個電話問
一下常常可以發現很多線索,無論如何,別和自己的錢包過不去,多一分小心,就多一份放心。
下一篇是教廠商如何建立一個安全且讓人信任的網路環境。