Мониторинг на Certificate Transparency логове: Ръководство за ранно откриване на фалшиви хотелски сайтове

Курортен хотел в Бодрум се обърна към нас със следния въпрос: "Имаме ли фалшив сайт, как можем да разберем?" В рамките на няколко минути, използвайки търсачката crt.sh, направихме заявка в CT логовете за името на хотела и близки варианти. Резултатът беше притеснителен: имаше SSL сертификати за 9 различни domain имена, за които хотелът не знаеше, и 7 от тях принадлежаха на активни фалшиви сайтове за резервации.

Управата на хотела не знаеше за тези сайтове. Тези сайтове бяха фалшиви страници за резервации, където гостите плащаха реални пари, но никога не можеха да се настанят. Ако бяха открити по-рано, щеше да има много по-малко загуби.

Certificate Transparency (CT) логовете са един от най-ефективните начини за ранно откриване на такива заплахи. В тази статия обясняваме стъпка по стъпка какво представляват CT логовете, как работят и как можете да използвате тази система, за да защитите хотела си.

Certificate Transparency (Прозрачност на сертификатите) е отворена система за одит, стартирана от Google през 2013 г., която днес се превърна в един от крайъгълните камъни на интернет сигурността. Тази система задължава органите за SSL/TLS сертификати да добавят всеки сертификат, който издават, към публичен, неизменяем регистър (лог).

Основната логика на системата е следната: ако всеки може да види за кои domain имена какви сертификати са издадени, става много по-лесно да се открият фалшиви или получени със злонамерени намерения сертификати.

Експертите в сектора са единодушни, че този механизъм е един от най-важните повратни моменти в историята на уеб сигурността. Първо големите браузъри направиха тези сертификати задължителни, а след това сертифициращите органи също бяха принудени да се включат в системата. Към днешна дата почти всички сертификати, издадени в света, се записват в CT логовете.

Когато някой поиска да получи SSL сертификат за уебсайт, сертифициращият орган (като Let's Encrypt, DigiCert, Sectigo) едновременно създава сертификата и изпраща регистрационната информация за този сертификат до един или повече CT лог сървъра. Лог сървърът получава този запис, обработва го с времеви печат и генерира код за потвърждение (Signed Certificate Timestamp — SCT). Браузърите не считат сертификата за напълно надежден, без да проверят този код.

Този процес означава следното: когато нападател получи сертификат за domain, който съдържа името на вашия хотел или подобен вариант, тази информация попада в CT логовете в рамките на минути. И тези логове са публични.

Нашето проучване показа, че фалшивите хотелски сайтове обикновено получават сертификат 24-48 часа след регистрацията на domain името. Следенето на CT логовете ви дава възможност да реагирате в рамките на този прозорец.

crt.sh е уеб интерфейс, управляван от Comodo CA, който позволява на всеки свободно да търси в CT логовете. Това е един от безплатните инструменти, към които хотелиерите и екипите по сигурността се обръщат най-често.

В интерфейса на crt.sh са налични няколко различни начина на търсене:

• Пълно domain име: Когато напишете "oteladi.com", се изброяват само сертификатите, получени за този domain.
• Wildcard търсене: Търсене като "%oteladi%" изброява сертификатите във всички domain имена, съдържащи името на хотела. Този метод е много по-ефективен за намиране на typosquatting случаи.
• Търсене по име на организация: Ако сертификатите са получени на името на организацията, те могат да бъдат намерени чрез този метод на търсене.

В резултатите от търсенето се появява следната информация:

• ID на сертификата: Идентифицира сертификата по уникален начин
• Дата на запис: Показва кога е получен сертификатът
• Domain име (Common Name / SAN): За кой domain е получен сертификатът
• Сертифициращ орган (CA): От кого е издаден

В опита на един наш клиент, когато той направи заявка в crt.sh за първи път за собствения си хотел, беше открит запис на сертификат за 14 различни domain имена, съдържащи името на неговия хотел. По-голямата част от тези domain имена принадлежаха на активни фалшиви сайтове за резервации.

Модерните браузъри предупреждават потребителя при влизане в сайтове без SSL сертификат. Това предупреждение кара гостите да намерят сайта за опасен. Поради тази причина измамниците задължително трябва да получат сертификат за своите фалшиви сайтове — и този сертификат задължително трябва да бъде записан в CT логовете.

CT логовете се актуализират веднага след получаване на сертификата. Още преди фалшивият сайт да бъде открит от гостите, вашата система за мониторинг на CT логове може да ви предупреди.

Тези логове са достъпни за всеки. Възможно е да се достигне до тези данни дори без системи за сигурност с големи бюджети.

Експертите в сектора посочват, че редовният мониторинг на CT логовете е най-надеждният механизъм за ранно предупреждение при откриване на фалшиви сайтове. Фалшиви сайтове, които не могат да бъдат открити със седмици чрез ръчни методи, могат да бъдат намерени за часове чрез автоматизиран мониторинг на CT логове.

Когато оценявате резултатите, върнати от търсене в CT логовете, се съсредоточете върху следните точки:

Сертификатите, получени в последните 7-30 дни, трябва да бъдат прегледани с приоритет. Старите сертификати най-вероятно вече са известни сайтове или са с изтекъл срок.

Всеки domain, който съдържа името на вашия хотел или близки варианти, трябва да бъде внимателно проучен. Особено комбинации като "резервация", "booking", "име на хотел + град" са модели, към които трябва да се подхожда със съмнение.

Let's Encrypt е напълно легитимен и широко използван сертифициращ орган, но поради това, че е безплатен, той е и предпочитан вариант за операторите на фалшиви сайтове. Сертификатът на Let's Encrypt сам по себе си не е знак за проблем; но когато се комбинира със съмнително domain име, изисква проверка.

Wildcard сертификати като "*.oteladi.com" покриват всички поддомейни. Ако нападател е получил такъв тип сертификат, той може да управлява няколко фалшиви поддомейна едновременно.

Ръчното търсене може да се прави веднъж седмично или веднъж месечно; но това не е достатъчно. Един нов фалшив сайт може да нанесе сериозни щети в рамките на няколко дни.

За автоматичен мониторинг съществуват няколко подхода:

Мониторинг, базиран на API: crt.sh предлага API. Вашият технически екип може да настрои ежедневна автоматична заявка, използвайки този API, и да открива мигновено съмнителни нови сертификати.

Услуги за мониторинг от трети страни: Инструменти като Certstream осигуряват достъп до поток от CT логове в реално време. Може да се дефинира филтър за определени ключови думи и при получаване на нов сертификат идва незабавно известие.

Система за мониторинг на RuuSafe: Платформата автоматично следи CT логовете 24/7, филтрира според името на вашия хотел и ключовите думи, които сте определили, и изпраща известие, когато бъдат открити нови заплахи.

1. Проучете domain името, намерено в crt.sh, чрез WHOIS заявка (регистратор, дата на регистрация, собственик)
2. Избягвайте да влизате в сайта от браузъра си — ако е необходимо, прегледайте го в изолирана среда
3. Документирайте дали съдържанието на сайта е откраднало името на вашия хотел, логото или изображенията ви
4. Направете уведомление за злоупотреба до компанията за регистрация на domain (registrar)
5. Подайте оплакване и до органа, издал сертификата
6. Докладвайте на Google Safe Browsing и Microsoft SmartScreen
7. Подайте сигнал до BTK и USOM

Ако искате да започнете правен процес, можете да намерите пътната карта стъпка по стъпка в нашата статия „Правен процес срещу фалшиви хотелски сайтове“.

Да си информиран е ценно, но без редовно приложение информацията сама по себе си не осигурява защита. Препоръчваме следната рамка, за да превърнете мониторинга на CT логовете в рутина:

В началото на всяка седмица правете следните търсения в crt.sh:

• "%oteladi%" — всички domain имена, съдържащи името на хотела
• "%oteladi-rezervasyon%", "%oteladi-booking%" — често срещани фалшиви комбинации
• Най-често срещаните грешно изписани варианти на името на вашия хотел

Сравнете резултатите с предходната седмица. Има ли новодобавени сертификати?

В началото на всеки месец правете по-широка заявка. Избройте всички сертификати, получени през предходния месец, и прегледайте всеки един поотделно. Съсредоточете се особено върху новорегистрирани domain имена (регистрирани в последните 30 дни).

Когато пристигнат необичайни оплаквания от гости или когато видите негативно съдържание по отношение на вашата марка в социалните мрежи, веднага направете заявка в CT логовете. Такива знаци често разкриват активна операция на фалшив сайт.

Ако имате технически капацитет, можете да настроите известия в реално време, като интегрирате API на crt.sh във вашите собствени системи. Тази интеграция е доста проста:

Създайте cron job (планирана задача), която прави заявка за нови сертификати, получени за даден domain. Този job може да бъде настроен да работи на всеки 6 часа. При откриване на нов сертификат да се изпраща известие по имейл или Slack.

Сред инструментите с отворен код Certstream е особено силна алтернатива. Certstream предлага WebSocket поток в реално време към CT логовете. Можете да дефинирате филтър за определени ключови думи; всеки нов сертификат, съдържащ името на вашия хотел, идва мигновено като известие.

Този вид автоматизация намалява времето за реакция от няколко дни на няколко часа в сравнение с ръчните процеси. Нашето проучване показа, че хотелите, използващи автоматичен CT мониторинг, откриват фалшивите сайтове средно за 4,7 часа, докато тези, които правят ръчна проверка, преживяват този период за 18-23 дни.

Не всеки неизвестен сертификат, срещнат при търсене в CT логовете, може да е заплаха. Някои чести източници на фалшиви положителни резултати:

Стари системи и имейл инфраструктура: Фирми от трети страни, предлагащи имейл услуги за хотела, от време на време получават сертификати чрез различни domain имена.

Бизнес партньори и дистрибутори: Туристическите агенции или платформите за резервации понякога могат да използват конфигурация на поддомейн, съдържаща името на хотела.

Архивирани стари сайтове: В списъка могат да се появят сертификати, получени за стар domain, използван в миналото, които все още стоят регистрирани.

Когато откриете съмнителен сертификат, първо направете WHOIS заявка. Собственикът на регистрацията и датата на регистрация дават важни улики за това дали този сертификат е легитимен или злонамерен. Новорегистрирани domain имена, със скрита информация за собственост или използващи услуга за поверителност, обикновено изискват по-внимателна проверка.

Мониторингът на CT логовете е мощен инструмент, но сам по себе си не осигурява пълна защита. Най-ефективният подход е комбинирането на CT мониторинга с други системи за ранно предупреждение.

CT логовете показват само domain имената, за които са получени сертификати. Ако нападател е създал фалшив сайт без сертификат (старомодна phishing страница, работеща през HTTP) или все още не е получил сертификат, той няма да се появи в CT логовете.

Инструменти за мониторинг на домейни като DNSTwist генерират всички възможни typosquatting варианти на името на вашия хотел и проверяват дали са регистрирани. Този инструмент следи регистрацията на domain независимо от това дали е получен сертификат или не.

Използването на CT мониторинг заедно с мониторинг на домейни обхваща едновременно два различни вектора на атака.

Google Alerts изпраща известие, когато уеб страници, съдържащи името на вашия хотел, започнат да се индексират в търсачките. Някои фалшиви сайтове може още да не са индексирани от Google, след като са се появили в CT логовете; или обратното, сайтове, използващи стар сертификат, не се появяват в CT лога, но може да са класирани в Google.

Хотелите, използващи и двете системи едновременно, създават много по-изчерпателна мрежа за мониторинг в сравнение с тези, които използват само едната.

Някои фалшиви сайтове достигат до гостите не чрез търсачките, а директно чрез реклами в социалните мрежи. Разликата във времето между появата на тези сайтове в CT логовете и активното рекламиране в социалните мрежи може да бъде много кратка.

Инструменти за мониторинг на социални мрежи като Brand24, Mention или Talkwalker проследяват всяко съдържание, в което се споменава името на вашата марка в социалните мрежи. Съвместната оценка на съмнителните споделяния, идващи от тези инструменти, с предупрежденията за нови сертификати от CT логовете, разкрива операциите на фалшиви сайтове много по-бързо.

Хотелите от всякакъв мащаб не разполагат с еднакъв капацитет. По-долу са дадени практически предложения според различните размери.

Седмичната ръчна заявка в crt.sh осигурява достатъчна основна защита. Настройването на Google Alerts за името на хотела и най-често срещаните 2-3 варианта също е безплатно и практично.

Месечно задълбочено сканиране на CT логове + седмична бърза проверка. Ако има технически екип, интеграцията с API на crt.sh предлага възможност за ежедневна автоматична заявка.

Интеграция с Certstream в реално време или специализирани платформи за мониторинг като RuuSafe. Задължителен е едновременен мониторинг за няколко имена на хотели и локации.

Констатациите, които се открояват в нашето проучване, проведено в турския хотелиерски сектор, са следните:

• При 63% от изследваните хотели беше открит поне един SSL сертификат, съдържащ името на хотела и получен от неизвестни източници
• 40% от тези сертификати принадлежаха на активна фалшива страница за резервации една седмица след получаването на сертификата
• Средното време за откриване в хотелите, извършващи мониторинг без автоматизация, е 23 дни; тези, които използват автоматичен мониторинг на CT логове, намаляват това време под 6 часа

Освен мониторинга на CT логове, научаването как да се оценяват SSL сертификатите допълнително засилва процеса на откриване. В това ръководство можете да намерите разликите между видовете сертификати DV, OV и EV и кой тип сертификат се използва във фалшивите сайтове.

Когато откриете съмнителен сертификат, може да се наложи да проучите сървърната инфраструктура на заден план. Можете да разгледате нашето техническо ръководство, което обяснява как да намерите реалните IP адреси на фалшиви сайтове зад Cloudflare CDN. Кръстосаното потвърждаване на откритието с Отчета за прозрачност на Google също засилва процеса на мониторинг.

Има ли друг инструмент за търсене в CT логове освен crt.sh? Да. Отчетът за прозрачност на Google представя данни от CT логовете с различен интерфейс. Налични са и инструменти като Certspotter и Facebook CT API. За програмен достъп API на crt.sh е лесен за използване с поддръжка на JSON формат; той е безплатен и не изисква регистрация.

Колко време след получаване на сертификата той се отразява в CT логовете? Повечето CA (Сертифициращи органи) изпращат запис към CT логовете веднага след издаването на сертификата. Това време може да варира от няколко секунди до няколко минути. Инструментите за поток в реално време като Certstream улавят новите записи на сертификати почти мигновено.

Мониторингът на CT логове изисква ли правна отговорност? Не. CT логовете са публични данни; те могат да бъдат запитвани без изискване за регистрация или удостоверяване на самоличността. Тези данни се използват свободно от държавни институции, изследователи по сигурността и фирми.

Открих фалшив сертификат; мога ли да анулирам сертификата? Ако сертификатът е издаден за вашия собствен domain, можете да направите уведомление за фалшификация чрез вашия регистратор. Не можете директно да анулирате сертификат, издаден за domain на трета страна; но можете да стартирате процес, като изпратите уведомление за злоупотреба (Abuse Report) до CA (например Let's Encrypt). Паралелно с това е необходимо да се започнат и процедури за domain takedown.

Проверете безплатно за съмнителни SSL сертификати, принадлежащи на вашия хотел. Инструментът за мониторинг на CT логове на RuuSafe ви информира незабавно, когато бъде получен нов сертификат за вашата марка. Стартирайте първото сканиране веднага.