Według raportu WebRoot codziennie na świecie powstaje 46 tysięcy stron służących do ataków phishingowych, które podszywają się pod witryny różnego rodzaju firm i instytucji.
Aby ułatwić ochronę przed tego typu pułapkami w sieci, organizacje mogą zacząć stosować certyfikaty Extended Validation (EV). Obecność takiego certyfikatu daje 99.987 proc. pewność, że witryna jest bezpieczna – wynika z niedawnych badań Georgia Institute of Technology Cyber Forensics Innovation (CyFI).
Certyfikat EV SSL tym różni się od certyfikatu SSL podstawowego (DV – Domain Validation), że ten drugi może być wydany dla każdej domeny i praktycznie bez żadnej weryfikacji wnioskodawcy. Nieco lepszym zabezpieczeniem są certyfikaty OV (Organization Validation), które są wydawane po zweryfikowaniu tożsamości organizacji lub osoby starającej się o certyfikat. Najbardziej rygorystyczny proces weryfikacji wnioskodawców ma miejsce podczas wydawania certyfikatów EV i dlatego właśnie są one praktycznie w ogóle nie wykorzystywane przez cyberprzestępców.
Obecnie już ponad połowa witryn wykorzystywanych do phishingu stosuje na nich certyfikaty – najczęściej DV. Oszuści wykorzystują podobny adres do tego, który jest celem ataku, a także tworzą niemal identyczną witrynę. Następnie rozsyłają mailing z adresem, który prowadzi na wcześniej przygotowaną phishingową stronę. W ten sposób mogą uzyskać dostęp do konta i wielu innych wrażliwych danych.
Na witrynach wykorzystujących certyfikat EV nazwa firmy pojawia się obok pola adresowego przeglądarki w towarzystwie charakterystycznej kłódki. Często czcionka, którą napisana jest nazwa firmy, albo pole, na którym znajduje się ta nazwa, jest koloru zielonego.
