Обнаружение поддельных SSL-сертификатов: Руководство по безопасности веб-сайтов отелей

В одном случае, с которым мы столкнулись во время нашего исследования, клиент пятизвездочного отеля в Анталье ввел данные своей кредитной карты на поддельном сайте бронирования, увидев значок замка и надпись «безопасное соединение». Глядя на сайт, все казалось нормальным: соединение HTTPS, действующий сертификат, знакомый дизайн. Однако сайт был полностью поддельным.

Этот случай наглядно демонстрирует реальность, с которой все чаще сталкивается гостиничный сектор: SSL-сертификат больше не является гарантией безопасности сам по себе.

SSL-сертификат (Secure Sockets Layer) шифрует поток данных между браузером пользователя и веб-сервером. Значок замка в адресной строке браузера и префикс "https://" указывают на то, что это шифрование активно.

Сертификат может получить кто угодно. Благодаря бесплатным поставщикам сертификатов, таким как Let's Encrypt, мошенники могут за считанные минуты получить действующий SSL-сертификат для поддельного сайта. Значок замка говорит лишь о том, что соединение зашифровано, а не о том, кто управляет сайтом.

Наши клиенты часто удивляются, узнав об этом. «Но там же был замок», — говорят они. К сожалению, замка больше не достаточно в качестве гарантии.

Понимание типов сертификатов — самый практичный способ отличить надежные сайты от поддельных.

DV-сертификаты подтверждают только то, что владелец этого домена подал заявку. Проверка личности не проводится. Центр сертификации просто говорит: «этот человек контролирует домен», он не задает вопрос: «кто этот человек?». Let's Encrypt и подобные бесплатные сервисы выдают DV-сертификаты. Получение занимает несколько минут, оно бесплатно и не требует предоставления каких-либо документов.

Мошенники почти без исключения используют DV-сертификаты. При анализе поддельных сайтов отелей мы обнаружили, что подавляющее большинство из них использовали DV-сертификаты, полученные от бесплатных провайдеров, таких как Let's Encrypt или ZeroSSL.

OV-сертификаты требуют, чтобы центр сертификации проверил организацию-заявителя путем изучения документов. Запрашиваются свидетельство о регистрации компании, подтверждение адреса и, в некоторых случаях, телефонное подтверждение. В сертификате отображается юридическое название организации.

Мошенникам невозможно получить OV-сертификат без создания поддельной компании. По этой причине даже поддельные сайты, которые хотят казаться легитимными, вынуждены предпочитать DV вместо OV. Для отелей, желающих создать политику корпоративных сертификатов, OV рекомендуется как минимальный стандарт.

EV-сертификаты подлежат самому строгому процессу проверки. Центр сертификации отдельно проверяет юридическое существование организации, физический адрес, операционный статус и личность уполномоченного представителя. Этот процесс может занять от нескольких дней до двух недель и является платным.

Некоторые браузеры отображают название организации зеленым текстом в адресной строке на сайтах с EV-сертификатом. Хотя сегодня этот визуальный индикатор активен не во всех браузерах, EV-сертификаты по-прежнему предлагают самую сильную гарантию идентичности. Крупные финансовые учреждения, государственные органы и международные гостиничные сети обычно предпочитают EV.

В наших наблюдениях по сектору мы видим, что ни один поддельный сайт отеля не использует EV-сертификат. Барьер проверки личности непреодолимо высок.

• DV: Может получить кто угодно, бесплатно, мгновенно. Гарантии личности нет.
• OV: Требуется корпоративная проверка, платно, занимает дни. Есть базовая гарантия личности.
• EV: Самая комплексная проверка, самое высокое доверие. Невозможно для поддельных сайтов.

Certificate Transparency (Прозрачность сертификатов) — это открытая система контроля SSL-сертификатов. Запущенная Google в 2013 году и поддерживаемая в рамках Google Transparency Report, эта система обязывает все центры сертификации добавлять каждый выдаваемый ими сертификат в общедоступный журнал (лог).

Эта система означает следующее: когда кто-то получает сертификат для комбинации «название вашего отеля + другой домен», эта информация попадает в общедоступные логи CT. И вы, отслеживая эти логи, можете обнаружить новые поддельные сайты через несколько часов после того, как они были созданы.

Эксперты отрасли отмечают, что этот механизм является самой надежной системой раннего предупреждения при отслеживании поддельных сайтов. Мошенники быстро создают страницу и медленно распространяют ее; логи CT же ведут записи почти мгновенно. Для получения дополнительной информации загляните в нашу статью certificate-transparency-log-izleme.

Часто поддельные сайты используют слегка измененные версии оригинального доменного имени. Вместо "hillsidebeachclub.com" — "hillsidebeachclubb.com" или "hillside-beachclub.com". Более подробную информацию об этой технике тайпосквоттинга вы найдете в нашей статье otel-domain-guvenligi-typosquatting.

Сертификат выдан для этого поддельного доменного имени. Значок замка настоящий, но адрес неправильный.

Нажмите на значок замка в браузере и перейдите к опции «Просмотр сертификата». Оттуда проверьте следующую информацию:

• Кому выдан: Правильное ли название отеля или случайное имя?
• Для какого домена: Совпадает ли он с доменным именем в адресной строке?
• Кто выдал: Известный ли это центр сертификации? (Известные органы: DigiCert, Sectigo, Let's Encrypt)
• С какого времени действителен: Это очень новый сертификат? Поддельные сайты обычно используют краткосрочные сертификаты.

crt.sh — это общедоступная поисковая система по логам CT, которой можно пользоваться бесплатно. Вы можете увидеть, какие сертификаты были получены для этого или похожих имен, выполнив поиск по своему доменному имени.

Один наш клиент, впервые воспользовавшись этим инструментом, нашел 11 отдельных записей SSL-сертификатов для своего отеля; 9 из них принадлежали полностью поддельным сайтам.

Регулярно сканируйте в логах CT не только свой основной домен, но и все вариации написания вашего бренда. В наших исследованиях мы увидели, что подавляющее большинство поддельных сайтов используют различные комбинации названия отеля: «анталья + название отеля», «название отеля + бронирование», «название отеля + booking» и т. д.

Сертификаты Extended Validation (Расширенная проверка) требуют от центра сертификации физического подтверждения личности организации. В некоторых браузерах название организации отображается в адресной строке. Мошенникам гораздо труднее получить сертификат такого типа.

При обнаружении поддельного сайта не ограничивайтесь только отправкой запроса на удаление. Сообщите также в Google Safe Browsing, Netcraft и Microsoft SmartScreen. Таким образом, сайт начнет отображаться в браузере пользователей с предупреждением «опасный сайт».

Ручное сканирование не является устойчивым для каждого отеля. Эксперты отрасли подчеркивают, что мониторинг логов CT должен осуществляться автоматически 24/7. В противном случае поддельный сайт может оставаться в сети в течение нескольких недель, прежде чем будет замечен.

1. Исследуйте подозрительный домен, найденный в crt.sh, с помощью WHOIS.
2. Не посещайте сайт — очистите историю браузера и кеш.
3. Отправьте жалобу регистратору (registrar), у которого зарегистрировано доменное имя.
4. Сообщите в CA (центр сертификации), предоставивший сертификат.
5. Передайте жалобу также в BTK в Турции.

Безопасен ли каждый сайт с SSL-сертификатом? Нет. SSL-сертификат показывает только то, что соединение зашифровано. Мошенники также могут бесплатно получить сертификат за считанные минуты. Для безопасности необходимо отдельно подтверждать доменное имя, тип сертификата и личность владельца сайта.

В чем практическая разница между DV и EV сертификатами? DV-сертификат подтверждает только контроль над доменом, и его может получить кто угодно за несколько минут. EV-сертификат же всесторонне подтверждает юридическую идентичность организации; поддельные сайты не могут пройти этот процесс. Чтобы предложить своим клиентам самую сильную гарантию, выбирайте EV.

Как часто мне нужно проверять логи CT? Для получения мгновенного уведомления о получении нового сертификата, похожего на название вашего бренда, следует использовать системы мониторинга в реальном времени. При ручном контроле рекомендуется сканировать свой бренд через crt.sh как минимум раз в неделю.

Могу ли я аннулировать SSL-сертификат, используемый на поддельном сайте? Да. Вы можете подать запрос на аннулирование (revocation), отправив уведомление о фишинге или злоупотреблении в CA (центр сертификации), предоставивший сертификат. Let's Encrypt и крупные центры сертификации обычно рассматривают такие уведомления в течение 24–48 часов.

Мгновенно проверьте все SSL-сертификаты, зарегистрированные на имя вашего отеля, с помощью нашего бесплатного инструмента. Вы сможете увидеть, сколько поддельных сертификатов было найдено, за несколько минут.