小心二维码钓鱼攻击！沃通SSL证书助力政企网站防范新型网络钓鱼

2024/08/22

近日，Cyble研究与情报实验室（CRIL）发现了一种新型的网络钓鱼活动，这些活动利用二维码作为诱饵，诱使用户提供敏感的财务信息。这种攻击方式利用了用户对二维码的熟悉和信任，掩盖了实际的网址，使得用户难以验证重定向网站的合法性。

小心！新型网络钓鱼攻击“二维码+钓鱼网站”

基于二维码的网络钓鱼活动，通过发送看似官方的Word文档，伪装成政府部门的官方文件，声称提供劳动补贴申领。

一旦用户扫描文档中的二维码，他们就会被重定向到一个精心设计的冒充政府机构官网的钓鱼网站，这个网站会以完成所谓的身份验证或补贴处理为由，逐步诱导用户提供个人信息、银行卡详情，甚至密码。

二维码钓鱼攻击是一种新型的网络钓鱼攻击手段，犯罪分子通过在文档、电子邮件或网页中嵌入恶意二维码，诱导用户扫描后重定向至欺诈网站，从而窃取用户的个人和财务信息。这种攻击的一个显著特点是使用了域名生成算法（DGA），使得网络钓鱼URL不断变化，从而更难以被预先阻止。此外，攻击者还会频繁更换用于发起恶意软件攻击的域名，以逃避检测。

沃通SSL证书有效助力政企网站防范钓鱼攻击

为了防范二维码钓鱼攻击，沃通建议用户在扫描前确认二维码来源可信，不要轻信不明来源的电子邮件、即时消息和文档中提供的二维码。而政企网站建议采取有效的技术手段防范网站被二维码钓鱼攻击仿冒利用。SSL证书是目前公认成熟有效的技术方式，能够帮助政企网站建立安全可信机制，让最终用户轻松识别政企网站真实身份，避免遭受上述钓鱼组合攻击。

SSL证书是用于部署在服务器上的数字证书，相当于网站服务器的“身份证”；同时具备激活SSL/TLS加密协议实现HTTPS传输加密的功能，因此也被称为服务器证书、TLS证书、HTTPS证书。

政企网站向沃通CA申请购买SSL证书后，由全球信任CA机构严格验证政企单位真实身份及域名所有权，颁发的SSL证书内包含已验证的单位信息。政企网站正确部署SSL证书后，终端访客使用https协议访问网站，浏览器将自动显示安全锁标识，点击安全锁可在证书信息栏查看网站所属单位的真实身份信息。使用SSL证书后，普通用户也能直观判断网站真实身份，轻松甄别虚假钓鱼网站，从源头上规避钓鱼攻击。

值得注意的是，只有OV级别、EV级别的SSL证书才具备验证展示单位真实身份的功能，DV级别SSL证书仅验证域名所有权，无法展示单位身份。为防范以高仿域名混淆用户的虚假钓鱼网站，建议政企网站系统都采用OV级别以上的SSL证书，充分展示网站可信身份，不给任何钓鱼网站可乘之机。

沃通SSL证书全球信任、支持各类浏览器、操作系统和移动终端，支持JAVA和老设备；帮助政企网站实现HTTPS加密、消除浏览器“不安全”警告，适用于网站、信息系统、App、H5小程序等各类应用场景。沃通OV级别SSL证书（超真SSL Pro、超真SSL）支持保护单域名、通配符域名、多域名及公网IP，应用范围广、扩展性强，是政企单位网站系统SSL证书首选。沃通EV级别SSL证书（超安SSL Pro、超安SSL）支持保护单域名、多域名，支持在部分浏览器直观展示绿色地址栏和单位名称，适用于更高信任级别的政企网站。

沃通CA是依法设立的第三方电子认证服务机构，提供SSL证书、国密SSL证书、代码签名证书、PDF文档签名证书等相关数字证书产品，已累计服务几十万家政企单位，多种证书产品结合，帮助政企单位建立更加安全可信的数字化应用环境。