نظارت بر گزارش‌های شفافیت گواهینامه (CT): راهنمایی برای تشخیص زودهنگام سایت‌های جعلی هتل

یک هتل تفریحی در بودروم با یک سوال به ما مراجعه کرد: "چگونه می‌توانیم بفهمیم که سایت جعلی داریم؟" در عرض چند دقیقه، با استفاده از موتور جستجوی crt.sh، گزارش‌های CT را برای نام هتل و نسخه‌های مشابه آن جستجو کردیم. نتیجه نگران‌کننده بود: گواهینامه‌های SSL برای ۹ دامنه مختلف وجود داشت که هتل از آن‌ها بی‌خبر بود و ۷ مورد از آن‌ها متعلق به سایت‌های فعال رزرو جعلی بودند.

مدیریت هتل از این سایت‌ها بی‌اطلاع بود. آن‌ها صفحات رزرو جعلی بودند که مهمانان پول واقعی پرداخت می‌کردند اما هرگز نمی‌توانستند پذیرش شوند. اگر این سایت‌ها زودتر شناسایی شده بودند، میزان خسارت به مراتب کمتر می‌بود.

گزارش‌های شفافیت گواهینامه (Certificate Transparency - CT) یکی از موثرترین راه‌ها برای شناسایی زودهنگام چنین تهدیداتی است. در این مقاله، گام‌به‌گام توضیح می‌دهیم که گزارش‌های CT چیست، چگونه کار می‌کنند و چگونه می‌توانید از این سیستم برای محافظت از هتل خود استفاده کنید.

شفافیت گواهینامه (CT) یک سیستم حسابرسی باز است که توسط گوگل در سال ۲۰۱۳ راه‌اندازی شد و از آن زمان به سنگ بنای امنیت اینترنت تبدیل شده است. این سیستم از مراجع صدور گواهینامه SSL/TLS (CAs) می‌خواهد که هر گواهینامه‌ای را که صادر می‌کنند به یک دفترچه ثبت عمومی و غیرقابل تغییر اضافه کنند.

منطق اصلی سیستم این است: اگر همه بتوانند ببینند کدام گواهینامه‌ها برای کدام دامنه‌ها صادر شده است، شناسایی گواهینامه‌های جعلی یا مخربی که به دست آمده‌اند بسیار آسان‌تر می‌شود.

کارشناسان صنعت توافق دارند که این مکانیزم یکی از مهم‌ترین نقاط عطف در تاریخ امنیت وب است. ابتدا مرورگرهای اصلی این گواهینامه‌ها را اجباری کردند، سپس مراجع صدور گواهینامه مجبور به پیوستن به سیستم شدند. تا به امروز، تقریباً تمام گواهینامه‌های صادر شده در سراسر جهان در گزارش‌های CT ثبت می‌شوند.

وقتی کسی می‌خواهد برای یک وب‌سایت گواهینامه SSL دریافت کند، مرجع صدور گواهینامه (مانند Let's Encrypt، DigiCert یا Sectigo) هم گواهینامه را ایجاد می‌کند و هم اطلاعات ثبت آن گواهینامه را به یک یا چند سرور گزارش CT ارسال می‌کند. سرور گزارش این سابقه را دریافت کرده، آن را با برچسب زمانی پردازش می‌کند و یک کد تایید (Signed Certificate Timestamp — SCT) تولید می‌کند. مرورگرها گواهینامه‌ای را بدون تایید این کد، کاملاً قابل اعتماد نمی‌دانند.

این فرآیند به این معنی است که وقتی یک مهاجم گواهینامه‌ای برای دامنه‌ای حاوی نام هتل شما یا نسخه مشابه آن دریافت می‌کند، این اطلاعات ظرف چند دقیقه در گزارش‌های CT قرار می‌گیرد. و این گزارش‌ها برای همه باز هستند.

در تحقیقات خود دیده‌ایم که سایت‌های جعلی هتل معمولاً ۲۴ تا ۴۸ ساعت پس از ثبت دامنه، گواهینامه دریافت می‌کنند. نظارت بر گزارش‌های CT به شما این فرصت را می‌دهد که در این بازه زمانی واکنش نشان دهید.

crt.sh یک رابط وب است که توسط Comodo CA مدیریت می‌شود و به هر کسی اجازه می‌دهد به صورت رایگان در گزارش‌های CT جستجو کند. این یکی از پرکاربردترین ابزارهای رایگان برای هتلداران و تیم‌های امنیتی است.

فرمت‌های جستجوی مختلفی در رابط crt.sh موجود است:

• نام کامل دامنه: تایپ کردن "yourhotelname.com" تنها گواهینامه‌های دریافت شده برای آن دامنه را لیست می‌کند.
• جستجوی وایلدکارد (Wildcard): جستجویی مانند "%yourhotelname%" گواهینامه‌ها را برای تمام دامنه‌های حاوی نام هتل لیست می‌کند. این روش برای یافتن موارد تایپواسکوآتینگ بسیار موثرتر است.
• جستجوی نام سازمان: اگر گواهینامه‌ها به نام یک سازمان دریافت شده باشند، می‌توان آن‌ها را با استفاده از این روش جستجو پیدا کرد.

اطلاعات زیر در نتایج جستجو ظاهر می‌شود:

• Certificate ID: شناسه منحصر به فرد گواهینامه.
• Logged At: نشان می‌دهد گواهینامه چه زمانی دریافت شده است.
• Domain Name (Common Name / SAN): دامنه‌ای که گواهینامه برای آن دریافت شده است.
• Issuer: صادرکننده گواهینامه.

در تجربه یکی از مشتریان، زمانی که آن‌ها برای اولین بار جستجوی crt.sh را برای هتل خود انجام دادند، سوابق گواهینامه برای ۱۴ دامنه مختلف حاوی نام هتل پیدا شد. اکثر این دامنه‌ها متعلق به سایت‌های فعال رزرو جعلی بودند.

مرورگرهای مدرن هنگام ورود به سایت‌های بدون گواهینامه SSL به کاربران هشدار می‌دهند. این هشدار باعث می‌شود مهمانان سایت را ناامن بدانند. بنابراین، کلاهبرداران باید برای سایت‌های جعلی خود گواهینامه دریافت کنند — و این گواهینامه باید در گزارش‌های CT ثبت شود.

گزارش‌های CT به محض دریافت گواهینامه به‌روز می‌شوند. حتی قبل از اینکه یک سایت جعلی توسط مهمانان کشف شود، سیستم نظارت بر گزارش CT شما می‌تواند به شما هشدار دهد.

این گزارش‌ها برای دسترسی همگان باز هستند. دسترسی به این داده‌ها حتی بدون سیستم‌های امنیتی با بودجه بالا امکان‌پذیر است.

کارشناسان صنعت اظهار می‌دارند که نظارت منظم بر گزارش‌های CT قابل اعتمادترین مکانیزم هشدار زودهنگام در تشخیص سایت‌های جعلی است. سایت‌های جعلی که ممکن است هفته‌ها از طریق روش‌های دستی شناسایی نشوند، با نظارت خودکار گزارش CT در عرض چند ساعت پیدا می‌شوند.

هنگام ارزیابی نتایج حاصل از جستجوی گزارش CT، روی این نکات تمرکز کنید:

گواهینامه‌هایی که در ۷ تا ۳۰ روز گذشته دریافت شده‌اند باید در اولویت بررسی قرار گیرند. گواهینامه‌های قدیمی‌تر احتمالاً مربوط به سایت‌های شناخته شده هستند یا منقضی شده‌اند.

هر دامنه‌ای که حاوی نسخه‌های مشابه نام هتل شما باشد باید به دقت بررسی شود. به ویژه ترکیب‌هایی مانند "reservation" ، "booking" و "نام هتل + نام شهر" الگوهایی هستند که باید با تردید به آن‌ها نگریست.

Let's Encrypt یک مرجع صدور گواهینامه کاملاً قانونی و پرکاربرد است، اما چون رایگان است، انتخاب مورد علاقه اپراتورهای سایت‌های جعلی نیز هست. گواهینامه Let's Encrypt به تنهایی نشانه مشکل نیست؛ اما وقتی با یک نام دامنه مشکوک ترکیب شود، نیاز به تحقیق دارد.

گواهینامه‌های وایلدکارد مانند "*.hotelname.com" تمام زیردامنه‌ها را پوشش می‌دهند. اگر یک مهاجم چنین گواهینامه‌ای دریافت کرده باشد، ممکن است در حال مدیریت چندین زیردامنه جعلی به صورت همزمان باشد.

جستجوی دستی می‌تواند یک بار در هفته یا یک بار در ماه انجام شود؛ اما این کافی نیست. یک سایت جعلی جدید می‌تواند ظرف چند روز آسیب جدی وارد کند.

چندین رویکرد برای نظارت خودکار وجود دارد:

نظارت مبتنی بر API: سایت crt.sh یک API ارائه می‌دهد. تیم فنی شما می‌تواند با استفاده از این API یک جستجوی خودکار روزانه تنظیم کند تا گواهینامه‌های مشکوک جدید را فوراً شناسایی کند.

سرویس‌های نظارتی شخص ثالث: ابزارهایی مانند Certstream دسترسی بلادرنگ به گزارش‌های CT را فراهم می‌کنند. می‌توان فیلترهایی برای کلمات کلیدی خاص تعریف کرد و به محض دریافت گواهینامه جدید، اعلان‌های فوری دریافت کرد.

سیستم نظارتی RuuSafe: این پلتفرم به طور خودکار گزارش‌های CT را ۲۴/۷ نظارت می‌کند، بر اساس نام هتل و کلمات کلیدی مشخص شده شما فیلتر می‌کند و هنگام شناسایی تهدیدات جدید، اعلان ارسال می‌کند.

۱. نام دامنه پیدا شده در crt.sh را با جستجوی WHOIS بررسی کنید (شرکت ثبت‌کننده، تاریخ ثبت، ثبت‌کننده). ۲. از ورود به سایت از طریق مرورگر خود اجتناب کنید — در صورت لزوم، آن را در یک محیط ایزوله بررسی کنید. ۳. مستند کنید که آیا محتوای سایت نام هتل، لوگو یا تصاویر شما را سرقت کرده است یا خیر. ۴. یک گزارش سوءاستفاده (Abuse report) به شرکت ثبت‌کننده دامنه ارسال کنید. ۵. همچنین شکایتی به مرجعی که گواهینامه را صادر کرده است ارسال کنید. ۶. آن را به Google Safe Browsing و Microsoft SmartScreen گزارش دهید. ۷. به BTK و USOM (در ترکیه) گزارش دهید.

اگر می‌خواهید فرآیند قانونی را آغاز کنید، می‌توانید نقشه راه گام‌به‌گام را در مقاله فرآیند قانونی علیه سایت‌های جعلی هتل ما پیدا کنید.

داشتن دانش ارزشمند است، اما دانش به تنهایی بدون کاربرد منظم، محافظت ایجاد نمی‌کند. توصیه می‌کنیم چارچوب زیر را برای تبدیل نظارت بر گزارش CT به یک روتین دنبال کنید:

در شروع هر هفته، جستجوهای زیر را در crt.sh انجام دهید:

• "%yourhotelname%" — تمام دامنه‌های حاوی نام هتل.
• "%hotelname-reservation%" ، "%hotelname-booking%" — ترکیب‌های رایج جعلی.
• رایج‌ترین نسخه‌های دارای اشتباه تایپی از نام هتل شما.

نتایج را با هفته قبل مقایسه کنید. آیا گواهینامه‌های جدیدی اضافه شده است؟

در ابتدای هر ماه یک جستجوی گسترده‌تر انجام دهید. تمام گواهینامه‌های دریافت شده در ماه گذشته را لیست کرده و هر کدام را به صورت جداگانه بررسی کنید. به ویژه روی دامنه‌هایی که اخیراً ثبت شده‌اند (در ۳۰ روز گذشته) تمرکز کنید.

زمانی که شکایات غیرمعمولی از مهمانان دریافت می‌کنید یا محتوای منفی علیه برند خود در شبکه‌های اجتماعی می‌بینید، بلافاصله جستجوی گزارش CT را انجام دهید. این نوع علائم عمدتاً خبر از فعالیت یک سایت جعلی فعال می‌دهند.

اگر ظرفیت فنی دارید، می‌توانید با ادغام API سایت crt.sh در سیستم‌های خود، اعلان‌های بلادرنگ تنظیم کنید. این ادغام بسیار ساده است:

یک کرون‌جاب (Cron job - وظیفه زمان‌بندی شده) ایجاد کنید که گواهینامه‌های جدید دریافت شده برای یک دامنه را جستجو کند. این وظیفه می‌تواند طوری تنظیم شود که هر ۶ ساعت اجرا شود. اجازه دهید هنگام شناسایی گواهینامه جدید، یک ایمیل یا اعلان اسلک (Slack) ارسال شود.

در میان ابزارهای متن‌باز، Certstream یک جایگزین بسیار قوی است. Certstream یک جریان بلادرنگ وب‌سوکت (WebSocket) به گزارش‌های CT ارائه می‌دهد. می‌توانید فیلترهایی برای کلمات کلیدی خاص تعریف کنید؛ هر گواهینامه جدید حاوی نام هتل شما به عنوان یک اعلان فوری می‌رسد.

این نوع خودکارسازی، زمان پاسخگویی را در مقایسه با فرآیندهای دستی از چند روز به چند ساعت کاهش می‌دهد. در تحقیقات خود دیده‌ایم هتل‌هایی که از نظارت خودکار CT استفاده می‌کنند، سایت‌های جعلی را به طور متوسط در ۴.۷ ساعت شناسایی می‌کنند، در حالی که کسانی که بررسی‌های دستی انجام می‌دهند این دوره را ۱۸ تا ۲۳ روز تجربه کرده‌اند.

هر گواهینامه ناشناخته‌ای که هنگام جستجوی گزارش‌های CT با آن مواجه می‌شوید، ممکن است تهدید نباشد. برخی از منابع رایج مثبت کاذب:

سیستم‌های قدیمی و زیرساخت ایمیل: شرکت‌های شخص ثالثی که خدمات ایمیل برای هتل ارائه می‌دهند گاهی اوقات از طریق دامنه‌های مختلف گواهینامه دریافت می‌کنند.

شرکا و توزیع‌کنندگان: آژانس‌های مسافرتی یا پلتفرم‌های رزرو گاهی اوقات از پیکربندی‌های زیردامنه حاوی نام هتل استفاده می‌کنند.

سایت‌های قدیمی آرشیو شده: گواهینامه‌های دریافت شده برای یک دامنه قدیمی که در گذشته استفاده می‌شده و هنوز ثبت شده است ممکن است در لیست ظاهر شوند.

وقتی یک گواهینامه مشکوک را شناسایی می‌کنید، ابتدا یک جستجوی WHOIS انجام دهید. ثبت‌کننده و تاریخ ثبت سرنخ‌های مهمی در مورد اینکه آیا این گواهینامه قانونی است یا مخرب، ارائه می‌دهند. دامنه‌هایی که جدیداً ثبت شده‌اند، اطلاعات مالکیت پنهان دارند یا از سرویس حریم خصوصی استفاده می‌کنند، عموماً نیاز به بررسی دقیق‌تری دارند.

نظارت بر گزارش CT ابزار قدرتمندی است، اما به تنهایی محافظت کامل ایجاد نمی‌کند. موثرترین رویکرد، ترکیب نظارت CT با سایر سیستم‌های هشدار زودهنگام است.

گزارش‌های CT تنها دامنه‌هایی را نشان می‌دهند که گواهینامه دریافت کرده‌اند. اگر مهاجمی یک سایت جعلی بدون گواهینامه (یک صفحه فیشینگ قدیمی که روی HTTP اجرا می‌شود) راه‌اندازی کرده باشد یا هنوز گواهینامه دریافت نکرده باشد، در گزارش‌های CT ظاهر نمی‌شود.

DNSTwist و ابزارهای مشابه نظارت بر دامنه، تمام نسخه‌های تایپواسکوآتینگ ممکن نام هتل شما را تولید کرده و بررسی می‌کنند که آیا ثبت شده‌اند یا خیر. این ابزار ثبت دامنه را بدون توجه به دریافت گواهینامه نظارت می‌کند.

استفاده از نظارت CT به همراه نظارت بر دامنه، دو بردار حمله مختلف را به طور همزمان پوشش می‌دهد.

سرویس Google Alerts زمانی که صفحات وب حاوی نام هتل شما در موتورهای جستجو ایندکس می‌شوند، اعلان ارسال می‌کند. برخی از سایت‌های جعلی ممکن است پس از ظاهر شدن در گزارش‌های CT هنوز توسط گوگل ایندکس نشده باشند؛ یا برعکس، سایت‌هایی که از یک گواهینامه قدیمی استفاده می‌کنند ممکن است در گزارش CT ظاهر نشوند اما در گوگل رتبه داشته باشند.

هتل‌هایی که از هر دوی این سیستم‌ها استفاده می‌کنند، شبکه نظارتی بسیار جامع‌تری نسبت به کسانی که تنها از یکی استفاده می‌کنند، ایجاد می‌نمایند.

برخی از سایت‌های جعلی نه از طریق موتورهای جستجو، بلکه مستقیماً از طریق تبلیغات شبکه‌های اجتماعی به مهمانان می‌رسند. اختلاف زمانی بین ظاهر شدن این سایت‌ها در گزارش‌های CT و تبلیغات فعال در شبکه‌های اجتماعی می‌تواند بسیار کوتاه باشد.

ابزارهای نظارت بر شبکه‌های اجتماعی مانند Brand24، Mention یا Talkwalker هر محتوایی را که در آن از نام برند شما استفاده شده باشد، ردیابی می‌کنند. ارزیابی پست‌های مشکوک از این ابزارها همراه با هشدارهای گواهینامه جدید از گزارش‌های CT، عملیات سایت‌های جعلی را بسیار سریع‌تر فاش می‌کند.

هر هتل با هر مقیاسی ظرفیت یکسانی ندارد. در ادامه پیشنهادهای کاربردی با توجه به اندازه‌های مختلف ارائه شده است.

یک جستجوی دستی هفتگی در crt.sh محافظت پایه کافی را فراهم می‌کند. تنظیم Google Alerts برای نام هتل و ۲-۳ نسخه رایج آن نیز رایگان و کاربردی است.

اسکن عمیق ماهانه گزارش CT + بررسی سریع هفتگی. اگر تیم فنی وجود دارد، ادغام API سایت crt.sh امکان جستجوهای خودکار روزانه را فراهم می‌کند.

ادغام بلادرنگ Certstream یا پلتفرم‌های نظارتی تخصصی مانند RuuSafe. نظارت همزمان برای چندین نام هتل و مکان اجباری است.

یافته‌های برجسته در تحقیقاتی که در بخش هتل‌داری ترکیه انجام دادیم به شرح زیر است:

• در ۶۳٪ از هتل‌های بررسی شده، حداقل یک گواهینامه SSL دریافت شده توسط منابع ناشناس و حاوی نام هتل شناسایی شد.
• ۴۰٪ از این گواهینامه‌ها یک هفته پس از دریافت گواهینامه، متعلق به یک صفحه فعال رزرو جعلی بودند.
• میانگین زمان تشخیص در هتل‌هایی که نظارت غیرخودکار انجام می‌دهند ۲۳ روز است؛ کسانی که از نظارت خودکار گزارش CT استفاده می‌کنند این زمان را به زیر ۶ ساعت کاهش می‌دهند.

علاوه بر نظارت بر گزارش CT، یادگیری نحوه ارزیابی گواهینامه‌های SSL فرآیند تشخیص را بیشتر تقویت می‌کند. شما می‌توانید تفاوت‌های بین انواع گواهینامه‌های DV، OV و EV و اینکه کدام نوع گواهینامه در سایت‌های جعلی استفاده می‌شود را در این راهنما پیدا کنید.

زمانی که یک گواهینامه مشکوک را شناسایی می‌کنید، ممکن است لازم باشد در مورد زیرساخت سرور پشتیبان تحقیق کنید. شما می‌توانید نگاهی به راهنمای فنی ما بیندازید که توضیح می‌دهد چگونه آی‌پی‌های (IP) واقعی سایت‌های جعلی پشت شبکه توزیع محتوا (CDN) کلاودفلر را پیدا کنید. تایید متقابل تشخیص با گزارش شفافیت گوگل نیز فرآیند نظارت را تقویت می‌کند.

آیا ابزار جستجوی گزارش CT دیگری به جز crt.sh وجود دارد؟ بله. گزارش شفافیت گوگل داده‌های گزارش CT را با رابط متفاوتی ارائه می‌دهد. ابزارهایی مانند Certspotter و Facebook CT API نیز در دسترس هستند. برای دسترسی برنامه‌نویسی، API سایت crt.sh با پشتیبانی از فرمت JSON به راحتی قابل استفاده است؛ رایگان است و نیازی به ثبت‌نام ندارد.

چه مدت پس از دریافت گواهینامه، در گزارش‌های CT منعکس می‌شود؟ اکثر مراجع صدور گواهینامه (CAs) به محض صدور گواهینامه، ثبت آن را به گزارش‌های CT ارسال می‌کنند. این دوره می‌تواند از چند ثانیه تا چند دقیقه به طول بینجامد. ابزارهای جریان بلادرنگ مانند Certstream ثبت گواهینامه‌های جدید را تقریباً آنی شکار می‌کنند.

آیا نظارت بر گزارش CT مستلزم مسئولیت قانونی است؟ خیر. گزارش‌های CT داده‌هایی هستند که در دسترس عموم قرار دارند؛ آن‌ها را می‌توان بدون نیاز به ثبت‌نام یا احراز هویت جستجو کرد. این داده‌ها به صورت رایگان توسط سازمان‌های دولتی، محققان امنیتی و کسب‌وکارها استفاده می‌شوند.

من یک گواهینامه جعلی شناسایی کردم؛ آیا می‌توانم گواهینامه را باطل کنم؟ اگر گواهینامه برای دامنه خودتان صادر شده باشد، می‌توانید از طریق شرکت ثبت‌کننده خود گزارش کلاهبرداری ارسال کنید. شما نمی‌توانید مستقیماً گواهینامه‌ای را که برای دامنه شخص ثالث صادر شده باطل کنید؛ با این حال، می‌توانید با ارسال یک گزارش سوءاستفاده (Abuse Report) به مرجع صدور گواهینامه (مثلاً Let's Encrypt)، فرآیند را آغاز کنید. به موازات آن، لازم است مراحل حذف دامنه (Takedown) آغاز شود.