Κατά τη διάρκεια της έρευνάς μας, συναντήσαμε μια περίπτωση όπου ένας πελάτης ενός πεντάστερου ξενοδοχείου στην Αττάλεια εισήγαγε τα στοιχεία της πιστωτικής του κάρτας σε μια ψεύτικη ιστοσελίδα κρατήσεων, επειδή είδε το εικονίδιο του λουκέτου και την ένδειξη "ασφαλής σύνδεση". Όλα φαίνονταν κανονικά: σύνδεση HTTPS, έγκυρο πιστοποιητικό, γνώριμος σχεδιασμός. Ωστόσο, ο ιστότοπος ήταν εντελώς ψεύτικος.
Αυτό το περιστατικό αποκαλύπτει μια πραγματικότητα που αντιμετωπίζει όλο και περισσότερο ο ξενοδοχειακός κλάδος: το πιστοποιητικό SSL από μόνο του δεν αποτελεί πλέον εγγύηση ασφάλειας.
Τι είναι το πιστοποιητικό SSL και τι κάνει;
Το πιστοποιητικό SSL (Secure Sockets Layer) κρυπτογραφεί την κίνηση δεδομένων μεταξύ του προγράμματος περιήγησης του χρήστη και του web server. Το εικονίδιο του λουκέτου στη γραμμή διευθύνσεων και το πρόθεμα "https://" δείχνουν ότι αυτή η κρυπτογράφηση είναι ενεργή.
Οποιοσδήποτε μπορεί να λάβει ένα πιστοποιητικό. Χάρη σε δωρεάν παρόχους όπως το Let's Encrypt, οι απατεώνες μπορούν να αποκτήσουν ένα έγκυρο πιστοποιητικό SSL για μια ψεύτικη ιστοσελίδα μέσα σε λίγα λεπτά. Το λουκέτο λέει μόνο ότι η σύνδεση είναι κρυπτογραφημένη, όχι ποιος διαχειρίζεται τον ιστότοπο.
Πιστοποιητικά DV, OV και EV: Ποια είναι η διαφορά;
Η κατανόηση των τύπων πιστοποιητικών είναι ο πιο πρακτικός τρόπος για τη διάκριση μεταξύ αξιόπιστων και ψεύτικων ιστότοπων.
DV (Domain Validation — Επαλήθευση Domain)
Τα πιστοποιητικά DV επιβεβαιώνουν μόνο ότι ο κάτοχος του domain έκανε την αίτηση. Δεν γίνεται έλεγχος ταυτότητας. Οι απατεώνες χρησιμοποιούν σχεδόν αποκλειστικά πιστοποιητικά DV, καθώς είναι δωρεάν και εκδίδονται άμεσα χωρίς έγγραφα.
OV (Organization Validation — Επαλήθευση Οργανισμού)
Τα πιστοποιητικά OV απαιτούν από την αρχή πιστοποίησης να επαληθεύσει τον οργανισμό μέσω ελέγχου εγγράφων (πιστοποιητικά σύστασης, επαλήθευση διεύθυνσης κ.λπ.). Το νόμιμο όνομα του οργανισμού εμφανίζεται στο πιστοποιητικό.
EV (Extended Validation — Διευρυμένη Επαλήθευση)
Τα πιστοποιητικά EV υπόκεινται στην πιο αυστηρή διαδικασία επαλήθευσης. Η αρχή πιστοποίησης επαληθεύει τη νομική ύπαρξη, τη φυσική διεύθυνση και την ταυτότητα του εξουσιοδοτημένου αντιπροσώπου. Μεγάλα χρηματοπιστωτικά ιδρύματα και διεθνείς αλυσίδες ξενοδοχείων προτιμούν συνήθως το EV. Στην έρευνά μας, δεν βρήκαμε καμία ψεύτικη ιστοσελίδα ξενοδοχείου να χρησιμοποιεί πιστοποιητικό EV.
Τι είναι τα Certificate Transparency (CT) Logs;
Το Certificate Transparency είναι ένα ανοιχτό σύστημα που διατηρεί τα πιστοποιητικά SSL υπό έλεγχο. Αυτό το σύστημα αναγκάζει όλες τις αρχές πιστοποίησης να προσθέτουν κάθε πιστοποιητικό που εκδίδουν σε ένα δημόσιο αρχείο καταγραφής (log).
Αυτό σημαίνει: αν κάποιος λάβει ένα πιστοποιητικό για έναν συνδυασμό "όνομα του ξενοδοχείου σας + διαφορετικό domain", αυτή η πληροφορία πέφτει στα δημόσια CT logs. Παρακολουθώντας αυτά τα logs, μπορείτε να εντοπίσετε νέες ψεύτικες ιστοσελίδες λίγες ώρες μετά τη δημιουργία τους.
Πώς να εντοπίσετε ένα ψεύτικο πιστοποιητικό SSL;
- Εξετάστε προσεκτικά το όνομα domain: Οι ψεύτικες ιστοσελίδες χρησιμοποιούν συχνά παραλλαγές του αρχικού ονόματος (π.χ. "hotel-booking.com" αντί για "hotel.com").
- Ελέγξτε τον κάτοχο του πιστοποιητικού: Κάντε κλικ στο λουκέτο και δείτε τις πληροφορίες "Προβολή πιστοποιητικού". Είναι το σωστό όνομα ξενοδοχείου; Είναι ένας αναγνωρισμένος εκδότης;
- Αναζητήστε στα CT logs με το crt.sh: Το crt.sh είναι μια δωρεάν μηχανή αναζήτησης για CT logs.
Μέτρα Προστασίας
- Παρακολουθήστε το brand σας και τις παραλλαγές του: Μην σαρώνετε μόνο το κύριο domain σας, αλλά όλες τις πιθανές παραλλαγές στα CT logs.
- Αξία του πιστοποιητικού EV: Η χρήση EV πιστοποιητικού στο δικό σας site δίνει στους πελάτες σας την υψηλότερη δυνατή εγγύηση ταυτότητας.
- Αναφορές παραβίασης: Όταν εντοπίζετε μια ψεύτικη ιστοσελίδα, αναφέρετέ την στο Google Safe Browsing.
Ελέγξτε άμεσα όλα τα πιστοποιητικά SSL που έχουν εκδοθεί στο όνομα του ξενοδοχείου σας με το δωρεάν εργαλείο της RuuSafe.
