دليل كشف شهادات SSL المزيفة: دليل أمان مواقع الفنادق

في إحدى الحالات التي واجهناها أثناء بحثنا، أدخل عميل فندق خمس نجوم في أنطاليا معلومات بطاقته الائتمانية في موقع حجز مزيف يعرض رمز قفل وعبارة "اتصال آمن". عند النظر إلى الموقع، كان كل شيء يبدو طبيعيًا: اتصال HTTPS، وشهادة صالحة، وتصميم مألوف. ومع ذلك، كان الموقع مزيفًا بالكامل.

تكشف هذه الحالة عن حقيقة يواجهها قطاع الفنادق بشكل متزايد: لم تعد شهادة SSL ضمانًا للأمان بمفردها.

تقوم شهادة SSL (طبقة المقابس الآمنة) بتشفير حركة البيانات بين متصفح المستخدم وخادم الويب. يشير رمز القفل في شريط عنوان المتصفح والبادئة "https://" إلى أن هذا التشفير نشط.

يمكن لأي شخص الحصول على الشهادة. بفضل موفري الشهادات المجانية مثل Let's Encrypt، يمكن للمحتالين الحصول على شهادة SSL صالحة لموقع مزيف في غضون دقائق. يخبرك رمز القفل فقط أن الاتصال مشفر؛ وليس من يدير الموقع.

غالبًا ما يتفاجأ عملاؤنا عندما يتعلمون هذا الأمر. يقولون "لكن كان هناك قفل". للأسف، لم يعد القفل ضمانًا كافيًا.

يعد فهم أنواع الشهادات الطريقة الأكثر عملية للتمييز بين المواقع الموثوقة والمزيفة.

تتحقق شهادات DV فقط من أن مالك هذا النطاق هو من قدم الطلب. لا يتم التحقق من الهوية. تقول هيئة إصدار الشهادات فقط "هذا الشخص يتحكم في النطاق"؛ ولا تسأل "من هو هذا الشخص؟". تقدم Let's Encrypt والخدمات المجانية المماثلة شهادات DV. يستغرق إصدارها بضع دقائق، وهي مجانية، ولا تتطلب تقديم أي مستندات.

يستخدم المحتالون شهادات DV بشكل شبه حصري. عندما قمنا بتحليل مواقع الفنادق المزيفة، وجدنا أن الغالبية العظمى منها تستخدم شهادات DV تم الحصول عليها من موفرين مجانيين مثل Let's Encrypt أو ZeroSSL.

تتطلب شهادات OV من هيئة إصدار الشهادات التحقق من المؤسسة المتقدمة بالطلب من خلال فحص المستندات. يُطلب وثيقة تسجيل الشركة، والتحقق من العنوان، وفي بعض الحالات تأكيد عبر الهاتف. يظهر الاسم القانوني للمؤسسة في الشهادة.

من غير الممكن للمحتالين الحصول على شهادة OV دون إنشاء شركة مزيفة. لهذا السبب، حتى المواقع المزيفة التي تريد أن تبدو شرعية تضطر إلى تفضيل DV على OV. يوصى بـ OV كحد أدنى من المعايير للفنادق التي ترغب في إنشاء سياسة شهادات مؤسسية.

تخضع شهادات EV لعملية التحقق الأكثر صرامة. تتحقق هيئة إصدار الشهادات بشكل منفصل من الوجود القانوني للمؤسسة وعنوانها الفعلي وحالتها التشغيلية وهوية الممثل المفوض. قد تستغرق هذه العملية من بضعة أيام إلى أسبوعين وهي مدفوعة.

تعرض بعض المتصفحات اسم المؤسسة باللون الأخضر في شريط العناوين للمواقع التي تحتوي على شهادات EV. على الرغم من أن هذا المؤشر المرئي ليس نشطًا في جميع المتصفحات اليوم، إلا أن شهادات EV لا تزال توفر أقوى ضمان للهوية. تفضل المؤسسات المالية الكبيرة والوكالات الحكومية وسلاسل الفنادق الدولية عمومًا EV.

في ملاحظاتنا الصناعية، نرى أنه لا يوجد موقع فندق مزيف يستخدم شهادة EV. إن حاجز التحقق من الهوية مرتفع للغاية بحيث لا يمكن التغلب عليه.

• DV: يمكن لأي شخص الحصول عليها، مجانية، فورية. لا يوجد ضمان للهوية.
• OV: يتطلب التحقق من المؤسسة، مدفوع، يستغرق أيامًا. ضمان هوية أساسي.
• EV: التحقق الأكثر شمولاً، أعلى درجات الثقة. مستحيل للمواقع المزيفة.

شفافية الشهادات (Certificate Transparency) هي نظام مفتوح يشرف على شهادات SSL. تم إطلاقه بواسطة Google في عام 2013 وبدعم من تقرير الشفافية من Google، يجبر هذا النظام جميع هيئات إصدار الشهادات على إضافة كل شهادة يصدرونها إلى سجل عام (log).

يعني هذا النظام أنه عندما يحصل شخص ما على شهادة لمجموعة "اسم فندقك + نطاق مختلف"، يتم إسقاط هذه المعلومات في سجلات CT المتاحة للجمهور. ومن خلال مراقبة هذه السجلات، يمكنك اكتشاف مواقع مزيفة جديدة في غضون ساعات من إنشائها.

يشير خبراء الصناعة إلى أن هذه الآلية هي نظام الإنذار المبكر الأكثر موثوقية في تتبع المواقع المزيفة. يقوم المحتالون بإنشاء الصفحة بسرعة ونشرها ببطء؛ بينما تحتفظ سجلات CT بسجلات شبه فورية. لمزيد من المعلومات، يرجى الرجوع إلى منشورنا certificate-transparency-log-izleme.

في معظم الأحيان، تستخدم المواقع المزيفة إصدارات معدلة قليلاً من اسم النطاق الأصلي. مثل "hillsidebeachclubb.com" أو "hillside-beachclub.com" بدلاً من "hillsidebeachclub.com". لمزيد من المعلومات حول تقنية انتحال الأسماء هذه، يرجى الرجوع إلى منشورنا otel-domain-guvenligi-typosquatting.

تم اكتشاف الشهادة لاسم النطاق المزيف هذا. رمز القفل حقيقي ولكن العنوان خاطئ.

انقر على رمز القفل في المتصفح وانتقل إلى "عرض الشهادة". من هناك، تحقق من المعلومات التالية:

• لمن صدرت: هل هو اسم الفندق الصحيح أم اسم عشوائي؟
• لأي نطاق: هل يتطابق مع اسم النطاق في شريط العناوين؟
• من أصدرها: هل هي هيئة إصدار شهادات معترف بها؟ (الهيئات المعروفة: DigiCert، Sectigo، Let's Encrypt).
• منذ متى هي صالحة: هل هي شهادة حديثة جدًا؟ تستخدم المواقع المزيفة عادةً شهادات قصيرة الأجل.

crt.sh هو محرك بحث لسجلات CT متاح للجمهور ويمكن استخدامه مجانًا. من خلال البحث عن اسم نطاقك، يمكنك رؤية الشهادات التي تم الحصول عليها لذلك الاسم أو أسماء مشابهة.

عندما استخدم أحد عملائنا هذه الأداة لأول مرة، وجد 11 سجلاً لشهادات SSL منفصلة لفندقه الخاص؛ 9 منها كانت تابعة لمواقع مزيفة بالكامل.

لا تقم بمسح نطاقك الرئيسي فقط، بل قم بمسح جميع الأشكال التي يمكن كتابة علامتك التجارية بها بانتظام في سجلات CT. في أبحاثنا، وجدنا أن الغالبية العظمى من المواقع المزيفة تستخدم مجموعات مختلفة من اسم الفندق: مثل "antalya + اسم الفندق"، "اسم الفندق + rezervasyon"، "اسم الفندق + booking".

تتطلب شهادات التحقق الممتد (Extended Validation) من هيئة إصدار الشهادات التحقق ماديًا من هوية المؤسسة. تعرض بعض المتصفحات اسم المؤسسة في شريط العناوين. من الصعب جدًا على المحتالين الحصول على مثل هذه الشهادة.

عندما تكتشف موقعًا مزيفًا، لا تكتفِ بإرسال طلب إزالة. أبلغ أيضًا Google Safe Browsing و Netcraft و Microsoft SmartScreen. بهذه الطريقة، يبدأ الموقع في الظهور مع تحذير "موقع خطير" في متصفحات المستخدمين.

المسح اليدوي ليس مستدامًا لكل فندق. يؤكد خبراء الصناعة على أن مراقبة سجلات CT يجب أن تتم تلقائيًا على مدار الساعة طوال أيام الأسبوع. وإلا، فقد يظل موقع مزيف على الإنترنت لأسابيع دون أن يتم اكتشافه.

1. ابحث عن النطاق المشبوه الذي وجدته في crt.sh باستخدام WHOIS.
2. لا تقم بزيارة الموقع - امسح سجل المتصفح وذاكرة التخزين المؤقت.
3. أرسل شكوى إلى المسجل (شركة تسجيل النطاق) الذي تم تسجيل اسم النطاق لديه.
4. أبلغ المرجع المصدق (CA) الذي قدم الشهادة.
5. أبلغ أيضًا BTK في تركيا.

هل كل موقع لديه شهادة SSL آمن؟ لا. تشير شهادة SSL فقط إلى أن الاتصال مشفر. يمكن للمحتالين أيضًا الحصول عليها مجانًا في غضون دقائق. من أجل الأمان، يجب عليك التحقق بشكل منفصل من اسم النطاق ونوع الشهادة وهوية مالك الموقع.

ما الفرق العملي بين شهادة DV وشهادة EV؟ تتحقق شهادة DV فقط من التحكم في النطاق ويمكن لأي شخص الحصول عليها في بضع دقائق. تتحقق شهادة EV بشكل شامل من الهوية القانونية للمؤسسة؛ لا يمكن للمواقع المزيفة اجتياز هذه العملية. اختر EV لتوفير أقوى ضمان لعملائك.

كم مرة يجب أن أتحقق من سجلات CT؟ يجب استخدام أنظمة المراقبة في الوقت الفعلي لإعلامك على الفور عند الحصول على شهادة جديدة مشابهة لاسم علامتك التجارية. في الفحص اليدوي، يوصى بمسح علامتك التجارية عبر crt.sh مرة واحدة في الأسبوع على الأقل.

هل يمكنني إلغاء شهادة SSL المستخدمة على موقع مزيف؟ نعم. يمكنك طلب الإلغاء (revocation) عن طريق إرسال إشعار تصيد احتيالي أو إساءة استخدام إلى المرجع المصدق (CA) الذي قدم الشهادة. عادةً ما تقوم Let's Encrypt والمراجع المصدقة الكبرى بتقييم هذه الإشعارات في غضون 24-48 ساعة.

تحقق على الفور من جميع شهادات SSL المسجلة باسم فندقك باستخدام أداتنا المجانية. يمكنك أن ترى عدد الشهادات المزيفة الموجودة في بضع دقائق.