EV SSL-сертификаты упрощают задачу фишерам

EV SSL-сертификаты упрощают задачу фишерам

С помощью EV SSL-сертификатов мошенники могут создавать сайты, вызывающие у жертв полное доверие.

Согласно опубликованному на этой неделе исследованию, Extended Validation (EV) SSL-сертификаты не обеспечивают надежную защиту от фишинговых сайтов и мошенников.

В последнее время EV SSL-сертификаты приобрели большую популярность. По данным Let’s Encrypt, в ноябре 2017 года 65% загруженных браузером Firefox web-страниц использовали HTTPS. В конце 2016 года данный показатель был на уровне 45%. Платный или бесплатный SSL-сертификат может получить кто угодно. Как показало исследование специалистов из Phish Labs, в настоящее время каждый четвертый фишинговый сайт использует HTTPS.

Используя EV SSL-сертификаты, компании повышают свою репутацию. За последние годы появилось все больше сайтов, отображающих в адресной строке названия своих компаний. Тем не менее, согласно исследованию ИБ-эксперта Джеймса Бартона (James Burton), используемая EV SSL-сертификатами модель доверия не является надежной.

По мнению исследователя, злоумышленники могут с помощью чужих похищенных данных создать поддельные компании с названиями, где используются слова, связанные с безопасностью. Фишеры могут создать для них сайты и получить EV SSL-сертификаты. Тогда в адресной строке будет отображаться зеленый замочек и название, вызывающее доверие у потенциальных жертв, например, Identity Verified. Многие пользователи не поймут, что Identity Verified – название, а не подтверждение подлинности компании или сайта.

В понедельник, 11 декабря, исследователь Иэн Кэрролл (Ian Carroll) опубликовал собственное исследование, основанное на работе Бартона. Как выяснил Кэрролл, при получении EV SSL-сертификата мошенники могут использовать не только названия, вызывающие доверие, но и названия реально существующих компаний.

Для примера исследователь создал в Кентукки компанию Stripe. Ему без труда удалось получить для нее EV SSL-сертификат, хотя в Делавэре уже была зарегистрирована компания с таким названием. Из-за совпадения названий браузер отобразит название «липовой» компании в адресной строке, и поддельный сайт будет выглядеть как настоящий домен. Конечно, некоторые браузеры также отображают код страны, где зарегистрирована компания, и даже физический адрес. Тем не менее, подобная информация не спасает от мошенничества, ведь рядовые пользователи вряд ли помнят или вообще знают место регистрации той или иной компании.

Еще хуже обстоят дела с браузерами, не отображающими полный адрес сайта. К примеру, мобильная и десктопная версии Safari полностью скрывают URL и отображают лишь название компании, полученное от EV SSL-сертификата. То есть, клиенты Apple никак не могут распознать фишинговый сайт, если его создатели с умом выбрали название и получили EV SSL-сертификат.

Последние версии Chrome и вовсе не позволяют пользователям видеть подробности о сертификате. Для этого им нужно зайти в специальный раздел «Инструментов разработчика».

SSL-сертификаты стандарта EV с расширенной проверкой – сертификаты бизнес-уровня высокой надежности, позволяющие подтвердить достоверность адреса сайта и содержащие информацию об организации, которой принадлежит домен. Являются самыми престижными на сегодняшний день.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.