Situs web scam menggunakan gembok https yang hijau untuk menipu Anda



Anda mungkin telah mendengar bahwa Anda harus mencari simbol gembok di bagian atas situs web sebelum memasukkan kata sandi atau informasi kartu kredit Anda ke dalam formulir online. Ini adalah saran yang bermaksud baik, tetapi data baru menunjukkan itu tidak cukup untuk menjaga informasi sensitif Anda aman.

Ternyata, penipu menjadi bijak dan mulai menambahkan gembok, yang sampai saat ini berwarna hijau cerah di sebagian besar browser, ke situs web mereka juga. Itu berarti gembok bukanlah jaminan bahwa situs web itu aman.

Itu menurut data dari firma cybersecurity PhishLabs, pertama kali dilaporkan oleh penulis keamanan Brian Krebs, yang menunjukkan bahwa hampir setengah dari semua halaman palsu memiliki gembok – yang dimaksudkan untuk menunjukkan bahwa situs tersebut aman – di samping URL situs web mereka. Scammer mengambil keuntungan dari fakta bahwa banyak pengguna internet bergantung pada simbol gembok untuk memutuskan apakah akan mempercayai situs web, menurut laporan Oktober dari Kelompok Kerja Anti-Phishing.

“Phisher mengambil manfaat dari pesan keamanan yang tidak jelas” di sekitar simbol itu, kata penulis laporan itu.

Hasilnya adalah tidak ada satu trik untuk melindungi Anda dari sisi gelap internet. Anda harus lebih pintar dari sebelumnya untuk menghindari scammers dan memeriksa lebih dari satu tanda bahwa situs web adalah sah.

Itu berarti memastikan URL situs web benar dan, bila memungkinkan, mengetikkan URL ke browser, bukan mengikuti tautan dari email. Alat seperti pengelola kata sandi dan perangkat lunak keamanan juga dapat membantu: Agar Anda tidak dibodohi oleh situs web scam yang sangat meyakinkan, mereka akan memperingatkan Anda ketika URL tidak cocok dengan situs web yang sah atau menghentikan Anda membuka situs scammy untuk memulai dengan .

“Kesadaran benar-benar adalah kunci,” kata Adam Kujawa, direktur lengan penelitian perusahaan keamanan cyber Malwarebytes. “Terserah kepada pengguna untuk mengatakan, apakah ini benar-benar sah?”

Apa arti gembok itu
Gembok selalu menjadi simbol yang tidak sempurna. Itu ada untuk memberi tahu Anda sesuatu yang spesifik, dan juga sangat teknis, dan itu sulit untuk menemukan gambar sederhana.

Kunci seharusnya memberitahu Anda bahwa situs web mengirim dan menerima informasi dari browser web Anda melalui koneksi terenkripsi. Itu saja. Anda dapat memberitahu situs web memiliki koneksi terenkripsi karena dimulai dengan huruf https, bukan http. Saat ini situs web menggunakan standar enkripsi yang disebut TLS. Koneksi aman membuatnya jadi tidak ada yang bisa membaca lalu lintas web Anda karena perjalanan melalui infrastruktur global yang luas dan internet.

Kunci tidak memberi tahu Anda apa pun tentang legitimasi situs.
PhishLabs CTO John LaCour
Inilah alasan mengapa koneksi terenkripsi bagus: memastikan bahwa informasi sensitif seperti kata sandi dan nomor kartu kredit teracak sehingga hanya situs web yang dimaksudkan untuk menerimanya dapat membacanya. Itu sangat penting untuk hal-hal seperti belanja online atau masuk ke situs web bank Anda.

Itu juga mengapa masih benar bahwa Anda tidak boleh memasukkan informasi Anda jika situs web tidak memiliki sambungan aman.

Tetapi banyak orang tidak tahu kunci berarti sesuatu yang sangat spesifik, kata John LaCour, Chief Technology Officer di PhishLabs. “Kami telah membungkam hal untuk mengunci yang berarti ‘aman’,” katanya.

Penjahat dapat menggunakan fitur keamanan juga
Scammers yang ingin menipu Anda agar memasukkan informasi sensitif dapat meletakkan gembok hijau di situs web mereka juga, dan mereka melakukannya lebih dan lebih. Ketika PhishLabs mulai mengumpulkan data pada awal 2015, kurang dari setengah persen situs web phishing menggunakan gembok. Jumlahnya naik dengan cepat, hingga sekitar 24 persen pada akhir 2017 dan sekarang lebih dari 49 persen pada kuartal ketiga 2018.

Masuk akal bahwa scammers akan menggunakan gembok lebih dan lebih, kata LaCour. Itu karena semakin mudah dan murah bagi pembuat situs web untuk menggunakan koneksi terenkripsi, berkat dorongan dari pakar keamanan cyber di Google, Electronic Frontier Foundation, dan kelas berat teknologi lainnya.

Penjahat sekarang dapat dengan mudah memperoleh sertifikat yang memungkinkan gembok untuk muncul dan enkripsi dilakukan, dan mereka dapat melakukannya tanpa mengungkapkan banyak tentang siapa mereka.

Terlebih lagi, perubahan pada browser utama seperti Chrome dan Firefox telah membuat situs tanpa enkripsi TLS terlihat jauh lebih berbahaya bagi pengguna, dengan peringatan yang sangat terlihat bahwa situs tersebut tidak aman. Itu memberikan motivasi tambahan bagi para penjahat untuk menunjukkan gembok di situs web mereka, kata LaCour, dan menghindari terlihat jelas teduh.

“Kunci itu tidak memberi tahu Anda apa pun tentang keabsahan situs itu,” katanya. “Itu hanya memberitahu Anda bahwa data Anda dienkripsi saat dikirim melalui internet.”

Itu bukan berita buruk
Mungkin yang terbaik adalah scammer menggunakan enkripsi pada situs web phising mereka, kata Nick Sullivan, kepala kriptografi di Cloudflare, perusahaan yang, antara lain, membantu organisasi mengenkripsi situs web mereka.

Itu karena mengirim informasi berharga yang dapat disadap dan dibaca siapa pun selalu merupakan ide yang buruk, bahkan jika masalah langsung Anda adalah Anda baru saja mengirim informasi rekening bank Anda ke scammer di negara lain. “Tidak ada yang buruk tentang situs phishing yang memiliki enkripsi,” kata Sullivan. CNET’s Holiday Gift Guide: Tempat untuk menemukan hadiah teknologi terbaik untuk 2018. Keamanan: Tetap up-to-date tentang pelanggaran terbaru, hacks, perbaikan dan semua masalah keamanan dunia maya yang membuat Anda terjaga di malam hari.

Sumber: msn