راهنمای شناسایی گواهینامه‌های SSL جعلی: امنیت وب‌سایت هتل

در طول تحقیقات خود، با موردی مواجه شدیم که در آن مشتری یک هتل پنج ستاره در آنتالیا پس از مشاهده آیکون قفل و متن "اتصال امن"، اطلاعات کارت اعتباری خود را در یک سایت رزرو جعلی وارد کرده بود. با نگاه به سایت، همه چیز عادی به نظر می‌رسید: اتصال HTTPS، گواهینامه معتبر، طراحی آشنا. با این حال، سایت کاملاً کلاهبرداری بود.

این مورد حقیقتی را برجسته می‌کند که صنعت هتلداری به طور فزاینده‌ای با آن روبروست: گواهینامه SSL دیگر به تنهایی تضمین کننده امنیت نیست.

گواهینامه SSL (مخفف Secure Sockets Layer) ترافیک داده بین مرورگر کاربر و وب‌سرور را رمزگذاری می‌کند. آیکون قفل در نوار آدرس مرورگر و پیشوند "https://" نشان‌دهنده فعال بودن این رمزگذاری است.

هر کسی می‌تواند گواهینامه دریافت کند. به لطف ارائه دهندگان گواهینامه رایگان مانند Let's Encrypt، کلاهبرداران می‌توانند در عرض چند دقیقه یک گواهینامه SSL معتبر برای یک سایت جعلی دریافت کنند. آیکون قفل فقط می‌گوید که اتصال رمزگذاری شده است؛ نه اینکه چه کسی سایت را اداره می‌کند.

مشتریان ما اغلب وقتی این موضوع را می‌فهمند تعجب می‌کنند. آن‌ها می‌گویند: "اما قفل وجود داشت." متأسفانه، قفل دیگر اطمینان کافی نیست.

درک انواع گواهینامه، عملی‌ترین راه برای تشخیص سایت‌های قابل اعتماد از سایت‌های جعلی است.

گواهینامه‌های DV فقط تأیید می‌کنند که مالک آن دامنه درخواست را داده است. هیچ بررسی هویتی انجام نمی‌شود. مرجع صدور گواهینامه فقط می‌گوید "این شخص دامنه را کنترل می‌کند"؛ نمی‌پرسد "این شخص کیست؟" سرویس‌های رایگان مانند Let's Encrypt و موارد مشابه گواهینامه‌های DV ارائه می‌دهند. صدور آن‌ها چند دقیقه طول می‌کشد، رایگان هستند و به هیچ مدرکی نیاز ندارند.

کلاهبرداران تقریباً منحصراً از گواهینامه‌های DV استفاده می‌کنند. وقتی سایت‌های جعلی هتل را تحلیل کردیم، متوجه شدیم که اکثریت قریب به اتفاق از گواهینامه‌های DV تهیه شده از ارائه دهندگان رایگان مانند Let's Encrypt یا ZeroSSL استفاده می‌کردند.

گواهینامه‌های OV مستلزم آن است که مرجع صدور گواهینامه، سازمان درخواست‌کننده را از طریق بررسی مدارک تأیید کند. مدارک ثبت شرکت، تأیید آدرس و در برخی موارد تأیید تلفنی درخواست می‌شود. نام قانونی سازمان در گواهینامه ظاهر می‌شود.

برای کلاهبرداران امکان دریافت گواهینامه OV بدون تأسیس یک شرکت جعلی وجود ندارد. بنابراین، حتی سایت‌های جعلی که می‌خواهند قانونی به نظر برسند، مجبورند DV را به OV ترجیح دهند. برای هتل‌هایی که می‌خواهند یک سیاست گواهینامه شرکتی ایجاد کنند، OV به عنوان حداقل استاندارد توصیه می‌شود.

گواهینامه‌های EV تحت سخت‌گیرانه‌ترین فرآیند اعتبارسنجی قرار می‌گیرند. مرجع صدور گواهینامه به طور جداگانه وجود قانونی، آدرس فیزیکی، وضعیت عملیاتی و هویت نماینده مجاز سازمان را تأیید می‌کند. این فرآیند می‌تواند از چند روز تا دو هفته طول بکشد و هزینه‌بر است.

برخی مرورگرها نام سازمان را با متن سبز در نوار آدرس در سایت‌های دارای گواهینامه EV نشان می‌دهند. اگرچه این نشانگر بصری امروزه در همه مرورگرها فعال نیست، اما گواهینامه‌های EV همچنان قوی‌ترین اطمینان هویتی را ارائه می‌دهند. مؤسسات مالی بزرگ، آژانس‌های دولتی و زنجیره‌های هتل‌های بین‌المللی عموماً EV را ترجیح می‌دهند.

در مشاهدات ما از صنعت، می‌بینیم که هیچ سایت جعلی هتلی از گواهینامه EV استفاده نمی‌کند. سد تأیید هویت در سطحی غیرقابل عبور است.

• DV: هر کسی می‌تواند بگیرد، رایگان، فوری. بدون تضمین هویت.
• OV: تأیید شرکتی لازم است، پولی، چند روز طول می‌کشد. اطمینان هویتی پایه وجود دارد.
• EV: جامع‌ترین اعتبارسنجی، بالاترین اعتماد. در سایت‌های جعلی غیرممکن است.

شفافیت گواهینامه (Certificate Transparency) یک سیستم باز است که گواهینامه‌های SSL را تحت ممیزی نگه می‌دارد. این سیستم که توسط گوگل در سال ۲۰۱۳ راه‌اندازی شد و تحت Google Transparency Report پشتیبانی می‌شود، همه مراجع صدور گواهینامه را مجبور می‌کند هر گواهینامه‌ای را که صادر می‌کنند به یک دفترچه گزارش عمومی اضافه کنند.

این سیستم به این معنی است: وقتی کسی برای ترکیبی از "نام هتل شما + دامنه متفاوت" گواهینامه دریافت می‌کند، این اطلاعات در گزارش‌های عمومی CT ثبت می‌شود. و با مانیتورینگ این گزارش‌ها، می‌توانید سایت‌های جعلی جدید را ظرف چند ساعت پس از راه‌اندازی شناسایی کنید.

کارشناسان صنعت معتقدند این مکانیسم قابل اعتمادترین سیستم هشدار اولیه در ردیابی سایت‌های جعلی است. کلاهبرداران صفحه را سریع راه‌اندازی کرده و به آرامی گسترش می‌دهند؛ گزارش‌های CT اما سوابق را تقریباً آنی نگه می‌دارند. برای اطلاعات بیشتر، می‌توانید مقاله certificate-transparency-log-izleme ما را ببینید.

بیشتر اوقات، سایت‌های جعلی از نسخه‌های کمی تغییر یافته نام دامنه اصلی استفاده می‌کنند. به جای "hillsidebeachclub.com"، چیزی شبیه به "hillsidebeachclubb.com" یا "hillside-beachclub.com". برای اطلاعات بیشتر در مورد این تکنیک typosquatting، مقاله otel-domain-guvenligi-typosquatting ما را بررسی کنید.

گواهینامه برای این نام دامنه جعلی صادر شده است. آیکون قفل واقعی است، اما آدرس اشتباه است.

با کلیک بر روی آیکون قفل در مرورگر، به گزینه "View Certificate" بروید. از آنجا اطلاعات زیر را بررسی کنید:

• Issued to: آیا نام صحیح هتل است یا یک نام تصادفی؟
• For which domain: آیا با نام دامنه در نوار آدرس مطابقت دارد؟
• Issued by: آیا مرجع صدور گواهینامه شناخته شده است؟ (مراجع شناخته شده: DigiCert، Sectigo، Let's Encrypt)
• Valid from: آیا گواهینامه بسیار جدید است؟ سایت‌های جعلی معمولاً از گواهینامه‌های کوتاه مدت استفاده می‌کنند.

crt.sh یک موتور جستجوی عمومی گزارش‌های CT است و می‌توان از آن به صورت رایگان استفاده کرد. با جستجوی نام دامنه خود، می‌توانید ببینید کدام گواهینامه‌ها برای آن نام یا نام‌های مشابه دریافت شده است.

یکی از مشتریان ما وقتی برای اولین بار از این ابزار استفاده کرد، ۱۱ رکورد مجزای گواهینامه SSL برای هتل خود پیدا کرد؛ ۹ مورد از آن‌ها متعلق به سایت‌های کاملاً جعلی بود.

به طور منظم نه تنها دامنه اصلی خود، بلکه تمام انواعی را که نام برند شما می‌تواند به آن صورت نوشته شود در گزارش‌های CT اسکن کنید. در تحقیقات خود دیده‌ایم که اکثریت قریب به اتفاق سایت‌های جعلی از ترکیبات مختلف نام هتل استفاده می‌کنند: "city + hotel name"، "hotel name + reservation"، "hotel name + booking" و غیره.

گواهینامه‌های Extended Validation (EV) مستلزم آن است که مرجع صدور گواهینامه هویت سازمان را به صورت فیزیکی تأیید کند. در برخی مرورگرها، نام سازمان در نوار آدرس نشان داده می‌شود. دریافت این نوع گواهینامه برای کلاهبرداران بسیار سخت‌تر است.

وقتی یک سایت جعلی را شناسایی کردید، فقط به ارسال درخواست حذف (takedown) اکتفا نکنید. آن را به Google Safe Browsing، Netcraft و Microsoft SmartScreen نیز گزارش دهید. به این ترتیب، سایت با هشدار "سایت خطرناک" در مرورگر کاربران نمایش داده می‌شود.

اسکن دستی برای هر هتلی پایدار نیست. کارشناسان صنعت تأکید می‌کنند که مانیتورینگ گزارش‌های CT باید به صورت خودکار و ۲۴/۷ انجام شود. در غیر این صورت، یک سایت جعلی می‌تواند هفته‌ها بدون شناسایی شدن آنلاین باقی بمانند.

۱. دامنه مشکوکی را که در crt.sh پیدا کردید با WHOIS تحقیق کنید. ۲. از سایت بازدید نکنید - تاریخچه و کش مرورگر را پاک کنید. ۳. شکایت را به registrar (شرکت ثبت دامنه) که نام دامنه در آن ثبت شده ارسال کنید. ۴. به CA (مرجع صدور گواهینامه) ارائه دهنده گواهینامه اطلاع دهید. ۵. همچنین در ترکیه شکایت را به BTK ارجاع دهید.

آیا هر سایتی با گواهینامه SSL ایمن است؟ خیر. گواهینامه SSL فقط نشان می‌دهد که اتصال رمزگذاری شده است. کلاهبرداران نیز می‌توانند در عرض چند دقیقه گواهینامه‌های رایگان دریافت کنند. برای امنیت، لازم است نام دامنه، نوع گواهینامه و هویت مالک سایت را به طور جداگانه تأیید کنید.

تفاوت عملی بین گواهینامه DV و گواهینامه EV چیست؟ گواهینامه DV فقط کنترل دامنه را تأیید می‌کند و هر کسی می‌تواند در چند دقیقه آن را دریافت کند. از سوی دیگر، گواهینامه EV هویت قانونی سازمان را به طور جامع تأیید می‌کند؛ سایت‌های جعلی نمی‌توانند این فرآیند را پشت سر بگذارند. برای ارائه قوی‌ترین اطمینان به مهمانان خود، EV را انتخاب کنید.

هر چند وقت یکبار باید گزارش‌های CT را بررسی کنم؟ باید از سیستم‌های مانیتورینگ بلادرنگ استفاده کرد تا به محض دریافت گواهینامه جدید مشابه نام برند شما، مطلع شوید. در بررسی دستی، توصیه می‌شود حداقل هفته‌ای یکبار برند خود را از طریق crt.sh اسکن کنید.

آیا می‌توانم گواهینامه SSL استفاده شده در یک سایت جعلی را باطل کنم؟ بله. می‌توانید با ارسال گزارش فیشینگ یا سوءاستفاده به CA (مرجع صدور گواهینامه) ارائه دهنده گواهینامه، درخواست ابطال (revocation) بدهید. Let's Encrypt و مراجع بزرگ صدور گواهینامه معمولاً چنین گزارش‌هایی را ظرف ۲۴ تا ۴۸ ساعت ارزیابی می‌کنند.

تمام گواهینامه‌های SSL ثبت شده به نام هتل خود را فوراً با ابزار رایگان ما بررسی کنید. می‌توانید ببینید چه تعداد گواهینامه جعلی در عرض چند دقیقه پیدا شده است.