大宗网站遭“钓鱼” SSL证书辨真伪

　　近期，一家浙江大宗商品交易中心发布公告称，目前网络上出现了冒充该交易中心网站进行诈骗的钓鱼网站，提示用户认准中心官方网站网址，不要上当受骗。今年以来，已经有多家大宗交易网站发公告提示用户小心钓鱼网站。在搜索引擎中搜索与大宗交易钓鱼网站相关的信息，可以找到40多万个相关结果。近年来，随着大宗行业线上业务的高速发展，其已逐渐成为继银行、电商、P2P等行业后，又一遭受钓鱼网站侵害的行业。

　　但从以往的经验来看，发公告的效果并不太好，主要原因如下：

　　1.在没看到公告前，用户可能就已经进入钓鱼网站；

　　2.钓鱼网站通过易混淆的域名和高度仿真的页面进行呈现，用户很难区分。

　　那么，大宗交易平台如何才能让用户方便的识别钓鱼网站呢？

　　近年来，很多网站都通过安装SSL证书进行安全认证，预防“钓鱼”。例如图例上的一家基金公司就在官网上安装了一张由CFCA（中国金融认证中心）签发的EV SSL证书。这张证书主要发挥两个作用：

　　1.在用户的浏览器和网站的服务器之间架设一条加密通道。其标志就是地址栏中的HTTP已转换为HTTPS。例如当用户向网站服务器提交自己的登陆密码时，这条通道可以保障密码信息在传输时不会遭到窃取。

　　2.一目了然的标注网站身份。地址栏变绿且呈现网站所有公司的注册名称，用户点击小锁图标还能查看认证信息，轻松识别真伪。因为这张SSL证书是由国家级CA证书机构CFCA经严格的人工审核后签发的，具有唯一性，所以不法分子不可能像仿冒网站页面那样进行伪造。

　　再看一下发布公告的那家大宗平台，其网站仍然采用易遭破解的HTTP明文传输，地址栏中无法查看认证信息，显然没有安装SSL证书，也就极易成为钓鱼网站的攻击目标。

　　作为网站信息安全的基础，SSL证书已逐步在银行、P2P等平台普及。在行业高速发展的同时，建议大宗交易平台尽快安装此类证书。这样在保护用户的同时，也能避免钓鱼网站对企业商誉造成损害，推动行业健康、有序发展。