Let's Encrypt выдал 14 766 сертификатов для фишинга PayPal
Бесплатные сертификаты Let’s Encrypt стали настолько популярными, что этот центр сертификации от Mozilla и EFF уже вошёл в число крупнейших центров сертификации в Интернете. К сожалению, возможностью получить бесплатный сертификат SSL пользуются не только обычные сайты, но и сайты для фишинга. Для них наличие зелёного значка HTTPS — важное свойство, чтобы отличие с настоящим сайтом не бросалось в глаза. Браузеры помечают такие фальшивки как «безопасные сайты».
Специалисты по безопасности ранее обратили внимание, что Let’s Encrypt выдаёт слишком много сертификатов со словом «PayPal» в названии домена. Эксперт SSL Store Винсент Линч (Vincent Lynch) даже обращался к центру сертификации с призывом прекратить выдачу таких сертификатов, потому что они с большой долей вероятности будут использоваться для фишинга. Теперь собраны доказательства, что фишинг с использованием сертификатов Let’s Encrypt — гораздо более распространённое явление, чем можно было предположить.
Винсент Линч собрал данные с помощью поисковой системы crt.sh (её запустил Comodo) и логов системы Certificate Transparency, куда Let’s Encrypt отправляет информацию обо всех выданных сертификатах — скоро так будут делать все центры сертификации. По умолчанию поисковик crt.sh не даёт обработать такой обширный запрос, так что исследователи обратились непосредственно к разработчику crt.sh Робу Стрэдлингу (Rob Stradling), который сделал запрос напрямую к базе данных.
Специалист подсчитал, что между 1 января 2016 года и 6 марта 2017 года Let’s Encrypt выдал сертификаты для 15 720 доменов со словом «PayPal» в названии, причём количество таких сертификатов растёт в геометрической прогрессии, каждый месяц увеличиваясь в 1,5–2 раза.
Как видим, фишерам понадобилось определённое время, чтобы освоить Let’s Encrypt в качестве основного центра сертификации —, но потом процесс пошёл. Let’s Encrypt стал постоянным рабочим инструментом мошенников. С декабря 2016 года он ежедневно выдаёт примерно по 100 сертификатов «PayPal», а в феврале 2017 года — более 180 сертификатов в день.
Консервативное изучение случайной выборки из тысячи сайтов показало, что 96,7% из выданных сертификатов принадлежат доменам, на которых работают фишинговые сайты. Это соответствует 14 766 фишинговым доменам из всей выборки в 15 720 сертификатов. Большинство фишинговых сайтов быстро попадают в фильтры сервисов Safe Browsing и вскоре уходят в офлайн. Как только фишинговый сайт помечен как «опасный» в браузере, он становится бесполезным. Поэтому мошенники используют такое большое количество доменов, постоянно меняющих друг друга. Согласно исследованию CYREN, до пометки в Safe Browsing или ухода в офлайн среднее время жизни сайта составляет всего около двух суток.
За март 2017 года есть пока неполные данные, но этот месяц может стать первым, когда количество выданных сертификатов на домены «PayPal» уменьшится.
Авторы исследования говорят, что изучали ситуацию только с доменами «PayPal», потому что это самая популярная мишень для фишинга, но такая же ситуация с доменами различных банков, сайтами Bank of America, Apple ID и Google. Например, вот 1963 сертификата с «applid» в названии домена.
Использование сертификатов SSL мошенниками было одним из главных беспокойств в связи с запуском бесплатного центра сертификации в конце 2015 года. В прежние времена с платными сертификатами злоумышленники вряд ли смогли бы себе позволить покупку тысяч сертификатов, тем более выдача каждого из них сопровождалась определённой бюрократической процедурой. Сейчас сертификаты стали бесплатными, а их получение и продление можно автоматизировать.
По оценке специалистов, по нынешней тенденции Let’s Encrypt до конца года выдаст ещё 20 000 сертификатов на фишинговые сайты «PayPal», так что общее число выданных сертификатов достигнет 35 000.
Создатели Let’s Encrypt считают, что следить за киберпреступностью и ловить мошенников — не их дело. Они не занимаются модерацией сайтов. Этот проект — одна из нескольких инициатив, направленных на «тотальное шифрование» Интернета. Цель — зашифровать абсолютно всё, и это подразумевает шифрование в том числе «плохих» сайтов, которые тоже переходят на HTTPS.
Специалисты по безопасности годами учили пользователей, что зелёный значок защищённого соединения HTTPS означает безопасность. Ситуация ухудшается тем, что даже некоторые браузеры как Chrome при соединении по HTTPS с фишинговым сайтом выводят зелёную плашку с надписью «Безопасно».
Теперь нужно проводить дополнительную разъяснительную работу и объяснять, что «защищённое соединение» может быть с вредоносным сайтом тоже. Каждому специалисту это прекрасно понятно, а вот среди пользователей не всегда есть такое понимание, чем и пользуются мошенники. Часть вины лежит на разработчиках UI браузеров.
Сообщество ИБ раньше задавалось вопросом, действительно ли вредоносные сайты и программное обеспечение широко используют HTTPS. Теперь получен ответ, что в индустрии фишинга это действительно так.