Уже почти четверть сайтов-подделок обзавелась поддельными SSL-сертификатами.
Фишинг с ложными SSL-сертификатами становится массовым — до четверти поддельных сайтов размещены на HTTPS-доменах. «Лаборатория Касперского» зафиксировала десятки миллионов угроз только за третий квартал. Зеленый замок не гарантирует подлинность ресурса — пользователи должны проверять доменное имя.
Крэйн Хассольд (Crane Hassold), руководитель отдела по исследованию угроз компании PhishLabs, охарактеризовал масштаб проблемы так: «В третьем квартале 2017 года мы наблюдали, что почти четверть всех фишинговых сайтов размещена на доменах HTTPS, а это почти вдвое больше, чем во втором квартале». Он подчеркнул, что еще год назад эта цифра была менее 3%, а два года назад — менее 1%.
Стремительный рост фишинговых сайтов, использующих поддельные SSL-сертификаты, обусловлен как минимум тремя причинами. Первая заключается в том, что «переселение» происходит вслед за легитимными HTTPS-ресурсами, поскольку фишеры обычно полностью копируют компрометируемый сервис. И чем больше на безопасных HTTPS-доменах будет подлинных сайтов, тем заметнее станет рост буквально преследующих их фишинговых подделок.
Вторая причина связана с легкостью получения SSL-сертификатов. Это дешево, само оформление происходит быстро, к тому же на некоторых сервисах — таких, как Comodo и Let’s Encrypt, их выдают бесплатно. Любопытно, что фишинговые сайты прекрасно работают и без SSL-сертификации, и лишний шаг по ее получению злоумышленники делают только для того, чтобы ловушка сработала наверняка.
В этом как раз и заключается третья причина. Многие пользователи все еще думают, что наличие HTTPS автоматически означает подлинность — но это, увы, не так. Зеленый замочек и SSL-сертификат свидетельствуют только о шифровании связи между браузером и сайтом, который может быть как легитимным, так и поддельным. Даже если пользователь видит страницу с HTTPS, перед вводом личных данных нужно внимательно проверить имя домена.
В отчете за III квартал 2017 года «Лаборатория Касперского» сообщила о предотвращении почти 60 миллионов переходов на фишинговые страницы. Около половины попыток пришлось на сайты финансовой направленности, также среди компрометируемых ресурсов были мессенджеры, соцсети, онлайн-игры, блоги, транспортные, налоговые и другие сервисы.
Одна из причин массовости фишинга заключается в многократном использовании готовых пакетов — ZIP-файлов с клонами оригинальных страниц, «дополненными» вредоносными скриптами. Содержимое архива размещают на хостинговой платформе, а после блокировки сайта архив зачастую не удаляют. В октябре 2017 года аналитики Duo Security изучили такие забытые фишинг-паки и опубликовали отчет. Они выяснили, что из 7800 заблокированных и заброшенных ZIP-пакетов уникальными были всего 3200, то есть один архив злоумышленники использовали несколько раз.