Мониторинг логов Certificate Transparency: Руководство по раннему обнаружению поддельных сайтов отелей

Курортный отель, работающий в Бодруме, обратился к нам с вопросом: «Есть ли у нас поддельный сайт, как мы можем это понять?» За несколько минут, используя поисковую систему crt.sh, мы запросили логи CT для названия отеля и близких вариаций. Результат был тревожным: существовали SSL-сертификаты для 9 различных доменов, о которых отель не знал, и 7 из них принадлежали активным поддельным сайтам бронирования.

Руководство отеля не знало об этих сайтах. Это были поддельные страницы бронирования, где гости платили реальные деньги, но никогда не могли заселиться. Если бы обнаружение произошло раньше, потерь было бы гораздо меньше.

Логи Certificate Transparency (CT) — один из самых эффективных способов раннего обнаружения таких угроз. В этой статье мы шаг за шагом объясняем, что такое логи CT, как они работают и как вы можете использовать эту систему для защиты своего отеля.

Certificate Transparency (Прозрачность сертификатов) — это открытая система аудита, запущенная Google в 2013 году и ставшая сегодня одним из краеугольных камней интернет-безопасности. Эта система обязывает центры сертификации SSL/TLS добавлять каждый выдаваемый ими сертификат в общедоступный, неизменяемый журнал (лог).

Основная логика системы такова: если каждый может видеть, каким доменам какие сертификаты выданы, становится гораздо проще обнаруживать поддельные или злонамеренно полученные сертификаты.

Эксперты отрасли сходятся во мнении, что этот механизм является одним из важнейших поворотных моментов в истории веб-безопасности. Сначала крупные браузеры сделали эти сертификаты обязательными, затем центры сертификации также были вынуждены включиться в систему. На сегодняшний день почти все сертификаты, выдаваемые в мире, записываются в логи CT.

Когда кто-то хочет получить SSL-сертификат для веб-сайта, центр сертификации (такой как Let's Encrypt, DigiCert, Sectigo) и создает сертификат, и отправляет регистрационную информацию об этом сертификате на один или несколько серверов логов CT. Сервер логов принимает эту запись, обрабатывает ее с отметкой времени и создает код подтверждения (Signed Certificate Timestamp — SCT). Браузеры не считают сертификат полностью доверенным без проверки этого кода.

Этот процесс означает следующее: когда злоумышленник получает сертификат для домена, содержащего название вашего отеля или похожую вариацию, эта информация попадает в логи CT в течение нескольких минут. И эти логи открыты для всех.

Наше исследование показало, что поддельные сайты отелей обычно получают сертификат через 24–48 часов после регистрации домена. Мониторинг логов CT дает вам возможность отреагировать в это «окно».

crt.sh — это веб-интерфейс, управляемый Comodo CA, который позволяет любому свободно осуществлять поиск в логах CT. Это один из инструментов, к которому чаще всего обращаются отельеры и команды безопасности.

В интерфейсе crt.sh доступно несколько различных способов поиска:

• Полное доменное имя: Когда вы пишете "otelinizadi.com", перечисляются сертификаты, полученные только для этого домена.
• Поиск с подстановочными знаками: Поиск вроде "%otelinizadi%" выводит список сертификатов для всех доменов, содержащих название отеля. Этот метод гораздо эффективнее для поиска случаев тайпосквоттинга.
• Поиск по названию организации: Если сертификаты получены на имя организации, их можно найти с помощью этого метода поиска.

В результатах поиска отображается следующая информация:

• ID сертификата: Уникально идентифицирует сертификат.
• Дата регистрации: Показывает, когда был получен сертификат.
• Доменное имя (Common Name / SAN): Для какого домена получен сертификат.
• Центр сертификации: Кем выдан.

В опыте одного из наших клиентов, когда он впервые сделал запрос в crt.sh для своего отеля, были найдены записи сертификатов для 14 различных доменов, содержащих название его отеля. Подавляющее большинство этих доменов принадлежали активным поддельным сайтам бронирования.

Современные браузеры предупреждают пользователя при входе на сайты без SSL-сертификата. Это предупреждение заставляет гостей считать сайт небезопасным. Поэтому мошенники обязаны получать сертификаты для своих поддельных сайтов — и этот сертификат должен быть записан в логи CT.

Логи CT обновляются сразу после получения сертификата. Еще до того, как поддельный сайт будет обнаружен гостями, ваша система мониторинга логов CT может предупредить вас.

Эти логи открыты для доступа каждого. Получить эти данные можно даже без систем безопасности с большими бюджетами.

Эксперты отрасли отмечают, что регулярный мониторинг логов CT является наиболее надежным механизмом раннего предупреждения при обнаружении поддельных сайтов. Поддельные сайты, которые невозможно обнаружить в течение недель ручными методами, могут быть найдены за считанные часы с помощью автоматического мониторинга логов CT.

Оценивая результаты, возвращаемые поиском по логам CT, сосредоточьтесь на следующих моментах:

Сертификаты, полученные за последние 7–30 дней, должны изучаться в приоритетном порядке. Старые сертификаты, скорее всего, принадлежат уже известным сайтам или срок их действия истек.

Каждый домен, содержащий название вашего отеля или близкие вариации, должен быть тщательно изучен. Особенно подозрительными являются комбинации вроде «rezervasyon», «booking», «название отеля + город».

Let's Encrypt — это полностью легитимный и широко используемый центр сертификации, однако из-за его бесплатности его часто выбирают и операторы поддельных сайтов. Сертификат Let's Encrypt сам по себе не является признаком проблемы, но в сочетании с подозрительным доменным именем требует проверки.

Wildcard-сертификаты, такие как "*.oteladi.com", охватывают все поддомены. Если злоумышленник получил такой сертификат, он может одновременно управлять несколькими поддельными поддоменами.

Ручной поиск можно проводить раз в неделю или раз в месяц, но этого недостаточно. Новый поддельный сайт может нанести серьезный ущерб всего за несколько дней.

Для автоматического мониторинга существует несколько подходов:

Мониторинг на основе API: crt.sh предлагает API. Ваша техническая команда может настроить ежедневный автоматический запрос с помощью этого API и мгновенно обнаруживать подозрительные новые сертификаты.

Сторонние сервисы мониторинга: Такие инструменты, как Certstream, обеспечивают доступ к потоку логов CT в реальном времени. Можно определить фильтры для определенных ключевых слов, и при получении нового сертификата мгновенно придет уведомление.

Система мониторинга RuuSafe: Платформа автоматически отслеживает логи CT 24/7, фильтрует по названию вашего отеля и определенным вами ключевым словам и отправляет уведомление при обнаружении новых угроз.

1. Исследуйте доменное имя, найденное в crt.sh, с помощью запроса WHOIS (регистратор, дата регистрации, владелец).
2. Избегайте входа на сайт через свой браузер — при необходимости исследуйте его в изолированной среде.
3. Задокументируйте, украл ли сайт ваш контент, название отеля, логотип или изображения.
4. Отправьте уведомление о злоупотреблении регистратору домена.
5. Подайте жалобу и в центр сертификации, выдавший сертификат.
6. Сообщите в Google Safe Browsing и Microsoft SmartScreen.
7. Подайте уведомление в BTK и USOM (в Турции).

Если вы хотите начать юридический процесс, вы можете найти пошаговую дорожную карту в нашей статье «Юридический процесс против поддельных сайтов отелей».

Знание ценно, но без регулярного применения оно само по себе не обеспечивает защиту. Мы рекомендуем следующую схему для превращения мониторинга логов CT в рутину:

В начале каждой недели проводите следующие поиски в crt.sh:

• "%otelnizinadi%" — все домены, содержащие название отеля.
• "%oteladi-rezervasyon%", "%oteladi-booking%" — распространенные поддельные комбинации.
• Самые распространенные ошибочные варианты написания названия вашего отеля.

Сравните результаты с предыдущей неделей. Есть ли вновь добавленные сертификаты?

В начале каждого месяца делайте более широкий запрос. Составьте список всех сертификатов, полученных за предыдущий месяц, и изучите каждый из них по отдельности. Сосредоточьтесь на недавно зарегистрированных доменах (зарегистрированных в последние 30 дней).

Когда от гостей поступают необычные жалобы или когда вы видите негативный контент в социальных сетях, направленный против вашего бренда, немедленно сделайте запрос логов CT. Такие признаки часто выдают активную операцию поддельного сайта.

Если у вас есть технические возможности, вы можете настроить уведомления в реальном времени, интегрировав API crt.sh в свои системы. Эта интеграция довольно проста:

Создайте cron job (задачу по расписанию), которая запрашивает новые сертификаты, полученные для домена. Эта задача может быть настроена на запуск каждые 6 часов. При обнаружении нового сертификата пусть отправляется уведомление по электронной почте или в Slack.

Среди инструментов с открытым исходным кодом Certstream является особенно мощной альтернативой. Certstream предлагает WebSocket-поток логов CT в реальном времени. Вы можете определить фильтр для определенных ключевых слов; каждый новый сертификат, содержащий название вашего отеля, будет мгновенно приходить как уведомление.

Такого рода автоматизация сокращает время реакции с нескольких дней до нескольких часов по сравнению с ручными процессами. Наше исследование показало, что отели, использующие автоматический мониторинг CT, обнаруживали поддельные сайты в среднем за 4,7 часа, в то время как те, кто проводил ручную проверку, тратили на это 18–23 дня.

Не каждый неизвестный сертификат, встреченный при поиске в логах CT, может быть угрозой. Некоторые распространенные источники ложных срабатываний:

Старые системы и почтовая инфраструктура: Сторонние фирмы, предоставляющие почтовые сервисы для отеля, время от времени получают сертификаты через другие домены.

Партнеры и дистрибьюторы: Туристические агентства или платформы бронирования иногда могут использовать конфигурацию поддоменов, содержащую название отеля.

Архивированные старые сайты: В списке могут отображаться сертификаты, полученные для старого домена, использовавшегося в прошлом, которые все еще зарегистрированы.

При обнаружении подозрительного сертификата сначала сделайте запрос WHOIS. Владелец и дата регистрации дают важные подсказки о том, является ли этот сертификат легитимным или злонамеренным. Недавно зарегистрированные домены, информация о владельце которых скрыта или которые используют сервис анонимности, обычно требуют более тщательного изучения.

Мониторинг логов CT — мощный инструмент, но сам по себе он не обеспечивает полную защиту. Самый эффективный подход — объединение мониторинга CT с другими системами раннего предупреждения.

Логи CT показывают только домены, для которых получены сертификаты. Если злоумышленник создал поддельный сайт без сертификата (старая фишинговая страница, работающая через HTTP) или еще не получил сертификат, он не появится в логах CT.

DNSTwist и подобные инструменты мониторинга доменов создают все возможные варианты тайпосквоттинга вашего отеля и проверяют, зарегистрированы ли они. Этот инструмент отслеживает регистрацию домена независимо от того, получен сертификат или нет.

Использование мониторинга CT вместе с мониторингом доменов одновременно охватывает два различных вектора атаки.

Google Alerts отправляет уведомление, когда веб-страницы, содержащие название вашего отеля, начинают индексироваться в поисковых системах. Некоторые поддельные сайты могут появиться в логах CT, но еще не быть проиндексированы Google; или наоборот, сайты, использующие старый сертификат, не отображаются в логах CT, но ранжируются в Google.

Отели, использующие обе эти системы одновременно, создают гораздо более комплексную сеть мониторинга по сравнению с теми, кто использует только одну.

Некоторые поддельные сайты находят гостей не через поисковые системы, а напрямую через рекламу в социальных сетях. Разница во времени между появлением этих сайтов в логах CT и началом активной рекламы в социальных сетях может быть очень короткой.

Инструменты мониторинга социальных сетей, такие как Brand24, Mention или Talkwalker, отслеживают любой контент, в котором упоминается название вашего бренда в соцсетях. Оценка подозрительных публикаций из этих инструментов вместе с предупреждениями о новых сертификатах из логов CT гораздо быстрее выявляет операции поддельных сайтов.

Не каждый отель имеет одинаковые возможности. Ниже приведены практические рекомендации в зависимости от масштаба.

Еженедельный ручной запрос в crt.sh обеспечивает достаточную базовую защиту. Настройка Google Alerts для названия отеля и 2–3 наиболее распространенных вариаций также бесплатна и практична.

Ежемесячное глубокое сканирование логов CT + еженедельная быстрая проверка. Если есть техническая команда, интеграция API crt.sh дает возможность проводить ежедневные автоматические запросы.

Интеграция Certstream в реальном времени или специализированные платформы мониторинга, такие как RuuSafe. Обязателен одновременный мониторинг нескольких названий отелей и локаций.

Вот основные выводы нашего исследования, проведенного в гостиничном секторе Турции:

• У 63% изученных отелей был обнаружен как минимум один SSL-сертификат, содержащий название отеля и полученный из неизвестных источников.
• 40% этих сертификатов принадлежали активной поддельной странице бронирования через неделю после получения сертификата.
• В отелях, проводящих мониторинг без автоматизации, среднее время обнаружения составляет 23 дня; те, кто использует автоматический мониторинг логов CT, сокращают это время до менее чем 6 часов.

Помимо мониторинга логов CT, умение оценивать SSL-сертификаты еще больше усиливает процесс обнаружения. Вы можете найти различия между типами сертификатов DV, OV и EV и узнать, какой тип сертификата используется на поддельных сайтах, в этом руководстве.

При обнаружении подозрительного сертификата может потребоваться исследовать серверную инфраструктуру в фоновом режиме. Вы можете ознакомиться с нашим техническим руководством, в котором рассказывается, как найти реальные IP-адреса поддельных сайтов за Cloudflare CDN. Перекрестная проверка обнаружения с помощью Отчета о прозрачности Google также усиливает процесс мониторинга.

Есть ли другие инструменты поиска в логах CT, кроме crt.sh? Да. Отчет о прозрачности Google представляет данные логов CT в другом интерфейсе. Также существуют такие инструменты, как Certspotter и Facebook CT API. Для программного доступа API crt.sh прост в использовании с поддержкой формата JSON; он бесплатен и не требует регистрации.

Через какое время после получения сертификата он отражается в логах CT? Большинство CA (центров сертификации) отправляют запись в логи CT сразу после выпуска сертификата. Это время может составлять от нескольких секунд до нескольких минут. Инструменты потоковой передачи в реальном времени, такие как Certstream, перехватывают новые записи сертификатов почти мгновенно.

Требует ли мониторинг логов CT юридической ответственности? Нет. Логи CT — это общедоступные данные; их можно запрашивать без какой-либо регистрации или аутентификации. Эти данные свободно используются государственными учреждениями, исследователями безопасности и предприятиями.

Я обнаружил поддельный сертификат; могу ли я аннулировать его? Если сертификат выдан для вашего собственного домена, вы можете подать уведомление о подделке через своего регистратора. Вы не можете напрямую аннулировать сертификат, выданный для стороннего домена; однако вы можете начать процесс, отправив уведомление о злоупотреблении (Abuse Report) в CA (например, Let's Encrypt). Параллельно необходимо запустить процедуры удаления (takedown) домена.

Бесплатно проверьте подозрительные SSL-сертификаты вашего отеля. Инструмент мониторинга логов CT RuuSafe мгновенно проинформирует вас при получении нового сертификата для вашего бренда. Начните первое сканирование прямо сейчас.