Ръководство за откриване на фалшиви SSL сертификати: Сигурност на хотелски уебсайтове

По време на наше проучване се натъкнахме на случай, при който клиент на петзвезден хотел в Анталия е въвел данните на кредитната си карта във фалшив сайт за резервации, показващ иконата на катинар и надпис „сигурна връзка“. Гледайки сайта, всичко изглеждаше нормално: HTTPS връзка, валиден сертификат, познат дизайн. Въпреки това, сайтът беше напълно фалшив.

Този случай разкрива една реалност, с която хотелският сектор се сблъсква все по-често: SSL сертификатът вече не е самостоятелна гаранция за сигурност.

SSL (Secure Sockets Layer) сертификатът криптира трафика на данни между браузъра на потребителя и уеб сървъра. Иконата с катинар в адресната лента на браузъра и префиксът „https://“ показват, че това криптиране е активно.

Всеки може да получи сертификат. Благодарение на безплатни доставчици на сертификати като Let's Encrypt, измамниците могат да си осигурят валиден SSL сертификат за фалшив сайт за броени минути. Иконата с катинар само казва, че връзката е криптирана, а не кой управлява сайта.

Нашите клиенти често се изненадват, когато научат това. „Но имаше катинар“, казват те. За съжаление, катинарът вече не е достатъчна гаранция.

Разбирането на видовете сертификати е най-практичният начин за разграничаване на надеждни от фалшиви сайтове.

DV сертификатите потвърждават само, че собственикът на този домейн е подал заявлението. Не се извършва проверка на самоличността. Органът по сертификация само казва „този човек контролира домейна“; той не задава въпроса „кой е този човек?“. Let's Encrypt и подобни безплатни услуги издават DV сертификати. Издаването им отнема няколко минути, безплатно е и не изисква представяне на документи.

Измамниците почти без изключение използват DV сертификати. Когато анализирахме фалшиви хотелски сайтове, установихме, че огромното мнозинство от тях използват DV сертификати, получени от безплатни доставчици като Let's Encrypt или ZeroSSL.

OV сертификатите изискват органът по сертификация да потвърди кандидатстващата институция чрез проверка на документи. Изисква се сертификат за регистрация на фирма, потвърждение на адрес и в някои случаи телефонно потвърждение. В сертификата се вижда законното име на институцията.

Не е възможно измамниците да получат OV сертификат, без да създадат фалшива компания. Поради тази причина дори фалшивите сайтове, които искат да изглеждат легитимни, са принудени да предпочитат DV пред OV. За хотели, които искат да създадат корпоративна политика за сертификация, OV се препоръчва като минимален стандарт.

EV сертификатите подлежат на най-строгия процес на проверка. Органът по сертификация потвърждава поотделно юридическото съществуване на институцията, физическия адрес, оперативния статус и самоличността на упълномощения представител. Този процес може да отнеме от няколко дни до две седмици и е платен.

Някои браузъри показват името на институцията със зелен текст в адресната лента на сайтове с EV сертификат. Въпреки че днес този визуален индикатор не е активен във всички браузъри, EV сертификатите все още предлагат най-силната гаранция за идентичност. Големите финансови институции, държавните органи и международните хотелски вериги обикновено предпочитат EV.

В нашите наблюдения в сектора виждаме, че нито един фалшив хотелски сайт не използва EV сертификат. Бариерата за удостоверяване на самоличността е непреодолимо висока.

• DV: Всеки може да го получи, безплатен, моментален. Няма гаранция за самоличност.
• OV: Изисква се корпоративна проверка, платен, отнема дни. Има основна гаранция за самоличност.
• EV: Най-всеобхватна проверка, най-високо доверие. Невъзможно за фалшиви сайтове.

Certificate Transparency (Прозрачност на сертификатите) е отворена система, която държи SSL сертификатите под контрол. Тази система, инициирана от Google през 2013 г. и поддържана в рамките на Google Transparency Report, принуждава всички сертифициращи органи да добавят всеки издаден от тях сертификат в публичен регистър (лог).

Тази система означава следното: когато някой получи сертификат за комбинация от „името на вашия хотел + различен домейн“, тази информация попада в публичните CT логове. И чрез наблюдение на тези логове можете да откриете нови фалшиви сайтове само няколко часа след създаването им.

Експертите в индустрията посочват, че този механизъм е най-надеждната система за ранно предупреждение при проследяване на фалшиви сайтове. Измамниците създават страницата бързо и я разпространяват бавно; CT логовете обаче водят записи почти моментално. За повече информация вижте нашата статия certificate-transparency-log-izleme.

Често фалшивите сайтове използват леко променени версии на оригиналното име на домейна. Вместо „hillsidebeachclub.com“, те използват „hillsidebeachclubb.com“ или „hillside-beachclub.com“. За повече информация относно тази техника на typosquatting вижте статията otel-domain-guvenligi-typosquatting.

Сертификатът е издаден за това фалшиво име на домейн. Катинарът е истински, но адресът е грешен.

Кликнете върху иконата с катинар в браузъра и изберете „Преглед на сертификата“. Оттам проверете следната информация:

• На кого е издаден: Правилното име на хотела ли е или произволно име?
• За кой домейн: Съвпада ли с името на домейна в адресната лента?
• Кой го е издал: Познат сертифициращ орган ли е? (Известни органи: DigiCert, Sectigo, Let's Encrypt)
• Откога е валиден: Много нов сертификат ли е? Фалшивите сайтове обикновено използват краткосрочни сертификати.

crt.sh е публична търсачка за CT логове и може да се използва безплатно. Като потърсите името на вашия домейн, можете да видите кои сертификати са получени за това име или подобни имена.

Когато един наш клиент използва този инструмент за първи път, той откри 11 отделни записа за SSL сертификати за своя хотел; 9 от тях принадлежаха на напълно фалшиви сайтове.

Редовно сканирайте в CT логовете не само основния си домейн, но и всички варианти, по които може да бъде изписана вашата марка. В нашите проучвания видяхме, че огромната част от фалшивите сайтове използват различни комбинации от името на хотела: „antalya + име на хотел“, „име на хотел + резервация“, „име на хотел + booking“.

Сертификатите за разширена валидация (Extended Validation) изискват сертифициращият орган физически да потвърди самоличността на институцията. В някои браузъри името на институцията се показва в адресната лента. За измамниците е много по-трудно да получат такъв сертификат.

Когато откриете фалшив сайт, не се задоволявайте само с изпращане на заявка за takedown. Докладвайте го и на Google Safe Browsing, Netcraft и Microsoft SmartScreen. По този начин сайтът започва да се показва с предупреждение „опасен сайт“ в браузъра на потребителите.

Ръчното сканиране не е устойчиво за всеки хотел. Експертите в индустрията подчертават, че мониторингът на CT логовете трябва да се извършва автоматично 24/7. В противен случай един фалшив сайт може да остане онлайн седмици наред, преди да бъде забелязан.

1. Проучете подозрителния домейн, който сте намерили в crt.sh, чрез WHOIS
2. Не посещавайте сайта — изчистете историята на браузъра и кеша
3. Изпратете жалба до регистратора (фирмата за регистрация на домейни), където е регистриран домейнът
4. Уведомете CA (сертифициращия орган), предоставил сертификата
5. В Турция изпратете жалбата и на BTK

Всеки сайт с SSL сертификат ли е сигурен? Не. SSL сертификатът само показва, че връзката е криптирана. Измамниците също могат да получат сертификата безплатно за броени минути. За сигурност е необходимо допълнително да се потвърди името на домейна, вида на сертификата и самоличността на собственика на сайта.

Каква е практическата разлика между DV и EV сертификат? DV сертификатът само потвърждава контрола над домейна и всеки може да го получи за няколко минути. EV сертификатът обаче всеобхватно потвърждава правната идентичност на институцията; фалшивите сайтове не могат да преминат през този процес. Предпочитайте EV, за да предложите на клиентите си най-силната гаранция.

Колко често трябва да проверявам CT логовете? Трябва да се използват системи за мониторинг в реално време, за да бъдете информирани незабавно, когато бъде получен нов сертификат, подобен на името на вашата марка. При ръчна проверка се препоръчва да сканирате марката си чрез crt.sh поне веднъж седмично.

Мога ли да анулирам SSL сертификат, използван във фалшив сайт? Да. Можете да подадете заявка за ревокация (анулиране), като изпратите доклад за фишинг или злоупотреба до CA (сертифициращия орган), предоставил сертификата. Let's Encrypt и големите CA обикновено разглеждат такива сигнали в рамките на 24-48 часа.

Проверете незабавно всички SSL сертификати, регистрирани на името на вашия хотел, с нашия безплатен инструмент. Само за няколко минути можете да видите колко фалшиви сертификати са намерени.