Nemrég összesen több mint 15 ezer, nyilvánvalóan ártó szándékkal létrehozott, a PayPal nevéhez köthető SSL-tanúsítványra bukkantak. A The SSL Store kutatása szerint jelszóhalász támadásokra használják ezeket a becsapós elnevezésű tanúsítványokat.
Ez a PayPal nem az a PayPal
A probléma egyik gyökerét a Let's Encrypt jelenti. A nyílt tanúsítványkibocsátó ugyanis nem fordít kellő figyelmet arra, hogy milyen tanúsítványokat bocsát ki; ezért sok olyan is kikerülhet az internetre, mely tartalmazza a PayPal kifejezést. Ezzel kapcsolatban Vincent Lynch, a The SSL Store titkosítási szakértője felvette a kapcsolatot a Let's Encrypttel.
A kutató korábbi megállapítása szerint a szolgáltató által kibocsátott, PayPal kifejezést tartalmazó közel ezer tanúsítvány több mint 99 százaléka(!) jelszóhalász célból létrehozott site-okon bukkant fel. Ám a helyzet újravizsgálása után rájött, hogy ezzel a számmal jelentősen alábecsülte a szituációt. Állítása szerint alaposabb kutatásuk során végül több mint 15 ezer darab, a Let's Encrypthez köthető "PayPal-tanúsítványt" számoltak össze, a korábbihoz képest több mint tízszer annyit.
A kibocsátások többsége tavaly november óta jött össze, azóta nagyjából napi 100, az inkriminált nevet tartalmazó tanúsítvány születik. Ezeknek átlagosan 96,7 százaléka szolgált phishing célokat.
Hamis biztonságérzetet ad a HTTPS
És hogy mi a probléma a becsapós elnevezésen kívül ezzel a gyakorlattal? Az, hogy számos jelszóhalászatra létrehozott website ezeket az SSL tanúsítványokat és HTTPS konfigurációt használ. Amikor tehát a böngésző megnyitja a csaló oldalakat, a felhasználók döntő többségének nem tűnik fel a becsapás, azt hiszik, hogy a(z egyébként néha szintén problémákat okozó) valódi oldalra navigáltak.
Nem meglepő módon nem csak a PayPal érintett; a Bank of America, az Apple ID-k és a Google egyes szolgáltatásai is a csalók célkeresztjében vannak. Lynch elárulta, hogy több ezer további, ezekkel kapcsolatos tanúsítványt is felfedeztek. Mindez azt bizonyítja, hogy a HTTPS protokollt használó phishing site-ok jelentősége a korábbiakban gondoltakhoz képest jóval nagyobb.
Ami egyben azt is jelenti, hogy könnyebben átverhetők az internetezők. Amíg nem folyamodtak ehhez a taktikához a hamis, eredeti site-okat másoló weboldalak, addig viszonylag gyorsan be lehetett őket azonosítani és letiltani. Most se tart túl sokáig, általában pár nap egy-egy ilyen oldal élettartama, de ez bőven elegendő idő ahhoz, hogy károkat tudjanak okozni a jelszóhalászatban utazó támadók.
Mi a megoldás?
Egyértelmű előrelépést jelentene, ha a Let’s Encrypt bevezetne legalább néhány, alapvető biztonsági ellenőrzést, például a közismert márkaneveket tartalmazó SSL-tanúsítványok kiállításának elutasítását. Ugyanakkor az internetezők évek óta tartó "tréningezése" sem segít: hosszú ideje sulykolja minden releváns forrás a HTTPS használatának szükségességét és biztonságát. Az üzenet ugyan átment, de torzult; a felhasználók többsége abszolút biztonságban érzi magát, mihelyst böngészője HTTPS protokollt jelez az aktuálisan látogatott weboldalon.
Megkérdőjelezhető egyébként a webes adatforgalom en-bloc titkosításának szükségessége is. Ezzel ugyanis a malware-ek beazonosítása is nehezebbé válik; könnyebben tudják kikerülni a biztonsági eljárásokat, amivel végül nagyobb kárt okoznak a végfelhasználóknak és a vállalatoknak.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak