Nemrég összesen több mint 15 ezer, nyilvánvalóan ártó szándékkal létrehozott, a PayPal nevéhez köthető SSL-tanúsítványra bukkantak. A The SSL Store kutatása szerint jelszóhalász támadásokra használják ezeket a becsapós elnevezésű tanúsítványokat.

Ez a PayPal nem az a PayPal

A probléma egyik gyökerét a Let's Encrypt jelenti. A nyílt tanúsítványkibocsátó ugyanis nem fordít kellő figyelmet arra, hogy milyen tanúsítványokat bocsát ki; ezért sok olyan is kikerülhet az internetre, mely tartalmazza a PayPal kifejezést. Ezzel kapcsolatban Vincent Lynch, a The SSL Store titkosítási szakértője felvette a kapcsolatot a Let's Encrypttel.

A kutató korábbi megállapítása szerint a szolgáltató által kibocsátott, PayPal kifejezést tartalmazó közel ezer tanúsítvány több mint 99 százaléka(!) jelszóhalász célból létrehozott site-okon bukkant fel. Ám a helyzet újravizsgálása után rájött, hogy ezzel a számmal jelentősen alábecsülte a szituációt. Állítása szerint alaposabb kutatásuk során végül több mint 15 ezer darab, a Let's Encrypthez köthető "PayPal-tanúsítványt" számoltak össze, a korábbihoz képest több mint tízszer annyit.

A kibocsátások többsége tavaly november óta jött össze, azóta nagyjából napi 100, az inkriminált nevet tartalmazó tanúsítvány születik. Ezeknek átlagosan 96,7 százaléka szolgált phishing célokat.

Hamis biztonságérzetet ad a HTTPS

És hogy mi a probléma a becsapós elnevezésen kívül ezzel a gyakorlattal? Az, hogy számos jelszóhalászatra létrehozott website ezeket az SSL tanúsítványokat és HTTPS konfigurációt használ. Amikor tehát a böngésző megnyitja a csaló oldalakat, a felhasználók döntő többségének nem tűnik fel a becsapás, azt hiszik, hogy a(z egyébként néha szintén problémákat okozó) valódi oldalra navigáltak.

Nem meglepő módon nem csak a PayPal érintett; a Bank of America, az Apple ID-k és a Google egyes szolgáltatásai is a csalók célkeresztjében vannak. Lynch elárulta, hogy több ezer további, ezekkel kapcsolatos tanúsítványt is felfedeztek. Mindez azt bizonyítja, hogy a HTTPS protokollt használó phishing site-ok jelentősége a korábbiakban gondoltakhoz képest jóval nagyobb.

Ami egyben azt is jelenti, hogy könnyebben átverhetők az internetezők. Amíg nem folyamodtak ehhez a taktikához a hamis, eredeti site-okat másoló weboldalak, addig viszonylag gyorsan be lehetett őket azonosítani és letiltani. Most se tart túl sokáig, általában pár nap egy-egy ilyen oldal élettartama, de ez bőven elegendő idő ahhoz, hogy károkat tudjanak okozni a jelszóhalászatban utazó támadók.

Mi a megoldás?

Egyértelmű előrelépést jelentene, ha a Let’s Encrypt bevezetne legalább néhány, alapvető biztonsági ellenőrzést, például a közismert márkaneveket tartalmazó SSL-tanúsítványok kiállításának elutasítását. Ugyanakkor az internetezők évek óta tartó "tréningezése" sem segít: hosszú ideje sulykolja minden releváns forrás a HTTPS használatának szükségességét és biztonságát. Az üzenet ugyan átment, de torzult; a felhasználók többsége abszolút biztonságban érzi magát, mihelyst böngészője HTTPS protokollt jelez az aktuálisan látogatott weboldalon.

Megkérdőjelezhető egyébként a webes adatforgalom en-bloc titkosításának szükségessége is. Ezzel ugyanis a malware-ek beazonosítása is nehezebbé válik; könnyebben tudják kikerülni a biztonsági eljárásokat, amivel végül nagyobb kárt okoznak a végfelhasználóknak és a vállalatoknak.