WiFi万能钥匙建立两道防线 完美抵御钓鱼WiFi 风险
　　近期有很多在外喜欢使用公共网络的用户反映，在同一地点发现同名的两个WiFi。对此，WiFi万能钥匙安全专家表示，其中一个极有可能是黑客自己架设的钓鱼WiFi。如果用户连接上了钓鱼WiFi，也可以正常上网，但是所有上网的数据都会经过黑客的服务器。所以当用户在进行网购或者其他需要输入账户密码的上网行为时，这些信息就会被黑客所掌握。　　更令人防不胜防的是，钓鱼WiFi经常冒充CMCC、ChinaNet、Starbucks等公众比较熟悉的热点，导致网络用户在外连接热点的风险极大提升。面对这种情况，WiFi万能钥匙在帮助用户免费连接网络的同时，推出了两个功能确保用户上网安全。　　防钓鱼云安全系统　　早在2014年4月，WiFi万能钥匙的2.9.15版本就已经推出首个&防钓鱼云安全系统&，加强对于钓鱼WiFi的识别和打击，帮助用户减少上网风险。通过WiFi万能钥匙连接上网时，程序会自动对用户列表中的WiFi热点进行鉴别，并提示风险钓鱼热点是否存在，把可疑的热点通过醒目的图标和文字提醒用户。　　推出行业首个安全险　　WiFi万能钥匙从安卓4.1.3版本和iOS 3.3.5版开始，推出了&WiFi安全险&，此版本及以上版本的WiFi万能钥匙注册用户在使用WiFi网络时，网上银行或第三方支付工具的账户发生非正常财产损失，若因WiFi万能钥匙导致，用户可获赔一年最高十万元的理赔金。而热点主人在分享闲置WiFi网络时出现网络安全问题，也可获赔单次最高十万元的保险理赔金。据悉，这是WiFi行业首个推出的安全险。　　从技术和现实层面来讲，WiFi万能钥匙并没有增加任何上网风险。但是为了让用户完全打消顾虑，安心上网，WiFi万能钥匙仍然不断采用技术手段等帮助用户加强安全防范，减少风险。通过以上两个功能，WiFi万能钥匙建立了抵御钓鱼WiFi的两道防线，极大的保护了用户的上网安全。
（责任编辑： HN666）
03/14 14:4103/14 14:4003/07 11:2203/07 11:2103/02 15:5703/02 15:5603/02 11:3503/01 10:43
科技精品推荐
每日要闻推荐
精彩焦点图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。回望“币安惊魂夜”：钓鱼事件如何发生，用户又该如何防御？_凤凰科技
回望“币安惊魂夜”：钓鱼事件如何发生，用户又该如何防御？
用微信扫描二维码分享至好友和朋友圈
原标题：回望“币安惊魂夜”：钓鱼事件如何发生，用户又该如何防御？ 币安网创始人赵长鹏 3月7日，知名
原标题：回望“币安惊魂夜”：钓鱼事件如何发生，用户又该如何防御？
币安网创始人赵长鹏
3月7日，知名数字货币交易平台币安遭到黑客攻击，此次攻击造成全球数字币价格大跌。
根据币安交易所的公告，有31个账户遭到黑客的钓鱼入侵，黑客在掌握用户的账户权限之后，使用机器挂单，进行程序化高频交易，给用户带来巨大损失。
这几天关于此事的新闻很多，但绝大多数都是从事件本身出发，对数字货币的影响、对交易平台的影响等。
最关键的一点没人提及：到底钓鱼事件是怎么发生的，作为币安的普通用户，我们应该如何防御此类攻击？
一年前，华裔学生报告unicode钓鱼漏洞
在币安交易所发布的公告中指出，本次攻击，黑客使用了“unicode钓鱼手法”，这个是什么鬼？估计99%的记者没看懂。
日，在约翰霍普金斯大学研究数学的学生xudong zheng发表了一篇论文，题目是《Phishing with Unicode Domains》，中文大意为“用unicode网址钓鱼”。文章中给出了一种钓鱼的方法，多语言字符混合来骗过用户的眼睛。
安全专家向黑奇士表示，咱们使用的浏览器，是以英文为基础的，包括网址在开始也是仅能解析英文，所谓的unicode编码。
为了让浏览器支持多语言，有人开发了punycode编码，这套编码可以让世界上其他的语言可以被浏览器“理解”，比如中文、俄文、韩语。
例如，你要访问苹果网站，在最早你必须输入英文的apple.com；后来中国的cnnic、3721等公司，相继开发了自己的插件，让浏览器支持“新浪.com”、”“百度.com”这样的域名。Punycode就相当于一款语言插件（编码标准），被内置在了主流浏览器当中。
但使用puycode编码的网址会有一个问题，比如中文拼音的 ü，跟英文单词的u，看起来非常像（一个头上有两点，一个没有），但这套编码会识别成两个字母。
这就带来一种攻击：有人把各种语言的相似字母组合在一起，冒充知名网址。
本次币安的钓鱼攻击，就是有人把西里尔语字母，跟英文字母结合，冒充币安的网址。
黑奇士采访的资深白帽子M表示，即使是专业安全人士，如果对web安全不熟，面对这种钓鱼也很有可能上当。
（看到n下面那两点了吗，那不是英文字母）
半月前赵长鹏已收到警报，但未做处理
所谓的钓鱼攻击，本质上就是用户在一个“仿冒网站”上输入了自己的账号密码。
这个仿冒网站，要想针对性的投放到币安用户群中，黑客会使用一些精准化的投放手法，例如搜索引擎的广告投放、向币安用户发送钓鱼邮件、在电报群中点对点发送网址链接等。
这些动作不能在短期内起效，如果交易所在安全监控上投入精力，是有可能早期发现、早期处理类似事件的。
可惜的，币安交易所并未做到。
有微信截图显示，早在2月20日，有人向币安交易所创始人赵某发布了钓鱼警告，他表示问题已得到处理。从币安的后续措施来看，他并未把这个警告当真，至少没有向存在风险的用户发布警告，以求尽力挽回损失。
白帽子M先生表示，针对此类unicode钓鱼，主流浏览器已经能够防御。在PC端，只要把浏览器升级到最新版本，就能解决一大部分威胁；在手机上，安装杀毒软件也能解决很多问题。如果是苹果手机，安装腾讯手机管家，iOS系统会调用其SDK，也能对钓鱼网址进行拦截。
黑奇士查看币安网站，截至发稿，网站首页没有任何安全提醒。 普通用户应该如何防范此类钓鱼攻击？
黑奇士提醒普通用户，可以采取如下措施，降低数字币交易的安全风险：
1、无论手机端还是PC端，都必须安装杀毒软件，而且要安装套装。单纯“杀毒”，是无法解决钓鱼这样问题的，黑奇士推荐卡巴斯基的杀毒套装（付费版），国内的话，可以尝试腾讯安全管家或火绒杀毒软件（两者均为免费软件）。
2、浏览器必须保持实时升级，事实上，uniode钓鱼过去已经一年，主流浏览器都应该打了补丁，对近似字符区别性显示。但国内有些换壳的浏览器，核心升级不如原版浏览器，这些可能存在安全问题。例如360浏览器、搜狗浏览器、猎豹浏览器，都可能存在此类问题。
黑奇士推荐安装在线安装chrome浏览器。国内网站下载的full版chrome浏览器，升级功能受到限制，可能导致安全性能受损。
3、对于普通小白用户，推荐使用密码管理器，软件会自动识别网址，在仿冒的网址上不会自动填入密码。但需要指出的是，这类密码管理器一旦被人入侵，所有密码都会被窃取。如何权衡风险和便利，还需要用户自己把握尺度。
4、手机端下载交易所软件时，不要怕麻烦，一定要从官网下载，不要从国内的手机软件商店下载，那些软件可能存在仿冒、换皮等问题。 多个大交易所仍有漏洞
3月10日，有安全研究者在知乎表示，除了用户账户被窃之外，交易所的风控逻辑存在漏洞，也是这次攻击成功的关键。
知乎网友“二子乘舟”在文章中推测，币安交易所并未采取真正的OTP（One-time Password）逻辑。
有币安受害者在国外网站表示，自己开启了币安最高等级的2FA认证。所谓2FA，就是在登陆账户的时候，除了账号名、密码需要正确之外，网站还会向你发送一个手机验证短信，验证成功才允许登陆，这个在业内叫二次验证。
币安的逻辑漏洞在于，手机验证短信在30秒有效期内可以被二次使用：用户首先在币安使用，然后黑客再利用这条短信再次登陆，验证码仍然有效。
而实际上，真正的OTP只允许一次登陆，即使在有效期之内，只要有人使用过一次，就会及时作废，防止黑客和用户同时异地登陆。
根据“二子乘舟”的检验，包括火币、Bigone等著名交易所仍然存在OTP验证漏洞，可能会被黑客攻击。
（来源：知乎网友，二子乘舟）
顶象高级安全专家朱烨表示，如果防范措施得当，当黑客窃取了用户的密码，试图登陆币安网站或app时，可以对其进行设备指纹、常用登陆IP、交易行为等多维度的风险模型识别，一旦发现异常即可阻止。
而且，根据币安的公告，黑客使用了机械化高频交易程序，控制被窃账户频繁交易。像这种行为，在拥有丰富传统金融安全经验的安全模型来说，对其进行防御轻而易举，有多种安全策略可以奏效。
安全路正长，诸君当努力
在黑奇士看来，现在无论什么行业，对于业务安全的需求都是有增无减。
以区块链相关为例，币安交易所对应了传统的沪深交易所，从收入水平、业务规模上都几乎可以与其匹敌。但每年沪深交易所的安全投入都是以数十亿计，币安投入了多少，对安全能说足够重视吗？
昨天，币安发布公告，悬赏25万美元捉拿黑客。
我想说，这种作秀有意思吗，你把这25万美元放到安全防御上行不行？
再次一点，你如果舍得丢脸，在2月20号收到警告的时候，官方发个安全公告，提醒用户小心钓鱼攻击，还会有后来的3.7惊魂吗？
一声叹息。
安全路正长，从业诸君当努力啊。
更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App
用微信扫描二维码分享至好友和朋友圈
凤凰网科技官方微信
播放数：5808920
播放数：129533
播放数：289747
播放数：5808920软件与服务//
巧用OpenDNS设置Web过滤抵御安全风险
　　去年的DNS漏洞造成的危害至今仍历历在目。其实不只是DNS，几乎对于所有与网络相关的软件，人们似乎总在发现漏洞、打补丁、更新的怪圈中循环，没完没了。今天和大家看一种被许多专业人士看好的安全的DNS服务-OpenDNS。
　　OpenDNS是一种免费的DNS服务,它准许在整个网络上进行内容过滤并提供更快的Web浏览。防护钓鱼攻击、活动日志等是这种服务所提供的一些特性。本文将探讨如何配置路由器和OpenDNS服务，目的是使用户在看了本文之后能够体验更安全、更快速、更可靠的互联网。
　　初识OpenDNS
　　由于DNS要把域名转换为IP地址，所以这种服务的速度和可靠性对快速而连续的Web冲浪极为关键。OpenDNS可提供极为迅速的DNS服务，同时又可以提供绝对的零宕机时间。强化的DNS服务器，如OpenDNS可以提供控制和管理互联网浏览的某些方面，或控制整个本地网络。
　　OpenDNS有一个内容过滤特性，在这里用户可以选择所禁止的站点类型(如成人站点、钓鱼网站、社交网站等)。此外，用户还可以阻止或放行特定的域。在DNS级别上过滤数据通信可使用户将其运用到本地网络的所有计算机上，这就不需要在每一台计算机上都安装和管理基于软件的过滤方案了。另外，别忘了，它是免费的!
　　OpenDNS服务可记录DNS的使用，使用户可以知道Web浏览的多少以及用户是否在设法访问被阻止的网站。这种服务还准许用户创建自己的“域名”，即被称之为用于快速访问站点的快捷方式。例如，用户可以增加一个词“mail”作为指向http://mail.yahoo.com的快捷方式。在本地网络上的任何用户都可以在其浏览器的地址栏内键入这个词来访问雅虎的邮件服务。
　　它提供的另外一种特性是对用户所键入信息的纠正。如果用户在浏览器内键入了sohu.cm，而不是sohu.com。这种服务将自动地添加字母“o”。在用户确实搞错了某个URL时，或者在一个网站关闭时，或者当用户在地址栏输入了一个搜索词时，将出现该服务的搜索引擎。这正是该网站赚钱的方式，即从用户在使用其搜索引擎时所看到的广告中来获取利润。
　　用户可一直使用该服务，即使没有申请账户，仍可以利用其快速而可靠的域名解析服务。不过，要设置网络使用内容过滤或快捷方式，用户必须创建一个账户并设置自己的网络，本文将讨论这些问题。
　　改变路由器使用OpenDNS服务
　　用户可以分别改变计算机的DNS服务器设置，也可以如我们所讨论的，即在路由器上改变设置，这样就可以使所有的计算机都使用OpenDNS服务。默认情况下，除非告诉它使用别的DNS服务器，否则路由器就使用ISP的DNS服务器。因此，配置网络使用该项服务需要在路由器基于Web的配置程序中输入两个服务器的IP地址，一是208.67.222.222， 二是 208.67.220.220。如下图1所示，这些设置一般出现在路由器的互联网连接或广域网设置中：
　　小提示：
　　在将这些设置运用到路由器之后,在计算机转向OpenDNS服务之前可能需要花费几分钟时间。OpenDNS的网站上提供了针对各种路由器的按部就班的操作指南。如果用户需要帮助，可以在浏览器中键入http://www.opendns.com，单击“Start Using it Now”链接，单击路由器链接,然后按照屏幕提示操作即可。
关键词：IT技术 DNS Web安全 网络钓鱼 技巧
责任编辑：张帅
All Rights Reserved, Copyright , Ctocio.com.cn
如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号使用OV或EV SSL证书，抵御钓鱼网站威胁
免费SSL证书帮助合法网站更加快速、低成本地实现HTTPS加密，防止中间人攻击和非法窃听，但也极易遭钓鱼网站利用。此前，用户是通过HTTPS判断真实网站，现在假冒网站也用上了HTTPS，用户该如何判断呢？HTTPS加密提升了网站数据传输安全，但只有充分利用网站身份信息才能抵御钓鱼网站威胁。
充分利用网站身份信息，抵御钓鱼网站
黑客利用免费SSL证书配置网络钓鱼或恶意软件分发等恶意网站，而部分浏览器对所有有效的HTTPS连接都显示“安全”，相似度极高的仿冒域名结合HTTPS安全锁以及浏览器显示的“安全”字样，使钓鱼网站看起来“越来越真实”。
图一：被Chrome标记为“安全”的PayPal钓鱼网站
CA安全理事会（CASC）针对业界面临的现状，发起了一项“支持网站身份”的活动，强调在目前的形势下网站身份信息比加密更重要，希望联合CA机构、浏览器厂商及网站所有者，充分利用网站身份信息来抵御恶意站点和钓鱼网站，倡导业界公开支持网站身份五项原则：
TLS/SSL服务器证书中的身份应该被浏览器用作提升用户安全的媒介
CA应该鼓励用户申请和部署更高身份认证级别的证书
OV SSL证书应该得到不同于DV SSL证书的浏览器UI，向用户展示网站身份信息
EV SSL证书应该继续获得独特的绿色地址栏的浏览器UI，区别于OV和DV，向用户展示更高的安全性
浏览器应该商定通用UI安全标识，避免频繁更改UI，并与其他方合作，教育用户了解通用UI的安全标识的含义，提升用户安全性。
申请OV和EV SSL证书需要完成严格的身份验证，用户身份是可以追溯的。所以，几乎没有恶意网站或钓鱼网站会使用OV或EV SSL证书。企业网站应该采用OV以上级别的SSL证书，将自己和假冒网站区分开，让用户可以通过网站身份信息判断网站真实性。浏览器应该将包含网站身份信息的证书（OV和EV SSL证书）与匿名证书（免费 SSL证书）区分开来，采用通用的浏览器UI安全标识显示网站身份，使用直观且易于理解的展示方式，并教育用户认识安全标识的含义。充分利用网站身份信息才是反钓鱼、反恶意网站的最佳防御机制。
普通用户如何判断“安全”网站？
普通用户可能需要警惕，网站使用免费SSL证书仅表示网站加密传输数据，并不意味着它是一个合法的网站，或者它实际上是它声称的那个网站。通过OV或EV SSL证书中展示的更加详细的网站真实身份信息，才能更加准确地进行判断。
图二：EV SSL证书显示详细的网站身份信息
一般的浏览器可以点击安全锁，找到查看证书详细信息的入口。如果网站使用了EV SSL证书，不用点击安全锁，就能从地址栏直观查看网站所属单位的名称及醒目绿色地址栏。
图三：360/IE/Firefox浏览器查看SSL证书信息
新版Chrome浏览器隐藏了SSL证书的详细信息和查看入口，需要通过F12调出开发者工具，在Secrity标签下查看证书详细信息。
图四：Chrome 56查看SSL证书信息
塑造企业网站可信形象
沃通和超安SSL Pre严格验证网站真实身份，帮助企业级用户抵御钓鱼网站仿冒的风险，塑造企业网站可信形象，防止终端用户遭遇网络钓鱼或恶意软件的侵害。沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统，支持各种新老移动终端。沃通提供细致的本地化客户服务和专业的一对一技术支持，十余年的证书行业服务经验，帮助用户应对各类复杂应用场景，更加快捷地完成证书部署。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
全球信任顶级根签发，支持所有浏览器和移动终端！欢迎咨询API对接合作！
全线SSL证书产品，支持所有浏览器，7×24小时服务支持，专业团队顾问式服务！
今日搜狐热点}