Az adathalászok is figyelnek a biztonságra

Az adathalászok is egyre gyakrabban vetnek be olyan oldalakat, amelyek tanúsítvánnyal és HTTPS támogatással rendelkeznek.
 

A webböngészőket fejlesztő cégek, illetve a biztonsági szakértők rendszeresen hívják fel a figyelmet arra, hogy napjainkban már nélkülözhetetlen lehet a weboldalak esetében a HTTPS támogatás biztosítása. Ennek segítségével ugyanis titkosíthatóvá válik az adatkommunikáció. A HTTPS elterjedésének ösztönzése érdekében a Google már régebben bejelentette, hogy a keresője jutalmazza azokat a weboldalakat, amelyek HTTPS-alapú kapcsolaton keresztül érhetők el. Eközben a webböngészők elkezdték "büntetni" azon weblapokat, amelyek nem teszik lehetővé a titkosított kommunikációt. Ezeket már nem biztonságosként jelölik meg, és a címsorban is közlik a felhasználóval, hogy biztonsági szempontból nem éppen ideális helyen jár.
 
A kiberbűnözőktől már megszokhattuk, hogy soha nem szeretnek lemaradni, és követik a technológia fejlődését. Így aztán miért pont a HTTPS lenne az a technológia, amelyet háttérbe szorítanak. 2016 óta gyakorlatilag folyamatosan egyre nagyobb számban terjesztenek olyan weblapokat, amelyek titkosított kommunikációt biztosítanak, és (általában DV - Domain Validated) tanúsítvánnyal rendelkeznek.
 
Többségben a biztonságosnak látszó oldalak
 
A PhishLabs által készített statisztika szerint 2019 első hónapjaiban az adathalász célokat szolgáló weboldalak 58 százaléka már rendelkezett HTTPS támogatással. Ez az elmúlt év utolsó negyedévéhez képest 12 százalékos növekedésnek felel meg. Vagyis elmondható, hogy a felhasználók értékes adataira pályázó weblapok több mint fele már abból a szempontból is biztonságosnak látszik, hogy lehetőséget adnak titkosított kommunikációra.  
Természetesen az adattolvajok nem jó kedvükből bíbelődnek a HTTPS-sel. Mivel a webböngészők egyre kevésbé szeretik, ha egy weblap sima, HTTP-alapokon érhető el, ezért a sokszor bankok vagy neves cégek weblapjait meghamisító adathalász oldalak gyanakvásra adnának okot, ha nem rendelkeznének tanúsítvánnyal. Ráadásul manapság már ingyenesen is lehet tanúsítványokat beszerezni, akár a Let's Encrypt révén, vagyis - a korábbiaktól eltérően - költség szempontból fájdalommentessé vált a HTTPS bevetése.
 
John LaCour, a PhishLabs műszaki igazgatója úgy véli, hogy a fenti trendeket elsősorban a webböngészőkbe épített figyelmeztetések és a HTTPS-ellenőrző mechanizmusok gyorsították fel az utóbbi években. Ezért aztán a felhasználóknak még inkább résen kell lenniük, és tisztába kell kerülniük azzal, hogy ha a webböngésző biztonságosnak nyilvánít egy tanúsítvánnyal rendelkező weblapot, akkor attól még korántsem biztos, hogy az minden szempontból ártalmatlan.