PayPal Phishing sitelerine 14.000'den fazla SSL Sertifikası verdi.
Bu ayın başında PayPal Phishing sitelerinde Let's Encrypt sertifikalarının kullanımını tartıştık . Bu yazıda ücretsiz verilen sertifikaların , Phishing için kullanıldığını ve bu oranın yüksek olması sebebi ile " Paypal " leşimesi içeren sertifikaları üretmesini durdurmasını istedim.
Bu talep sonrasında Paypal'ın öncelikli bir hedef olduğunu ve Let's Encryp'in " PayPal " kelimesi içeren yaklaşık 1000 sertifikayı ve bunun %99'undan fazlasını Phishing ( Kimlik Avı ) Saldırılarında kullanıldığını resmi ağızdan açıkladı.
Geniş aratırmalarımızda önceki iddalarımızın hafife aldındığını gördük Let's Encrypt aslında 15.270 " PayPal " sertifikası yayımladı . Bu hiç görülmemiş bir ölçüde Let's Encrypt phishing olgusunu ortaya koymaktadır.
Phishing Bağlantılarını Şifrelediler.
Let's Encrypt eleştirmenleri tarafından dile getirilen birincil korkulardan biri - Sertifika Otoritesinin lansmanından önce gelen bir korku - SSL sertifikaları ücretsiz olduğu için bu hizmetin phishing'ler için CA'ya dönüşmesi idi. Let's Encrypt ayrıca kötü niyetli sitelerin sertifikalarını kullanmasının CA'nın işi olamayacağını savunarak CA'nın rolü konusunda alışılmadık bir duruş sergiliyor. Bu, phishing ve malware dağıtıcılarının yasaklanması veya sertifikalarının iptal edilmesi riski olmaksızın Let's Encrypt'i kullanmakta özgür olduğu anlamına geliyordu.
Endüstrinin dört bir yanındaki endişelere rağmen, Let's Encrypt'in tutumu endüstri standartlarıyla tam uyumludur. Ne olursa olsun, bu politika ücretsiz sertifikalar sunma ile birlikte phishing edenler için cazip bir ortam yaratmaktadır.
Önceki yazımda Let's Encrypt'in "PayPal" sözcüğünü içeren 988 sertifika yayınladığını söyledim - örneğin, paypal.com.secure-alert.net. Tipik olarak, CA'lar, cezai faaliyetlere yardım etme amaçlı kullanılacakları için bu tür sertifikalar vermezler.
Bu 988'in% 99.5'inin kimlik avı için kullanıldığı (veya kullanıldığı). Bu, yaygın istismar olduğunu ispatlamış olsa da, Let's Encrypt'in ilk açıklandığında birçok kişinin beklediği düzeyde değildi.
Şimdi, Let's Encrypt tarafından yayınlanan "PayPal" sertifikalarının tamamını kapsayan yeni verilerimiz var. Bu yeni veriler , sertifika şeffaflık günlükleri için bir arama motoru olan crt.sh'den geliyor ve hizmetin daha önce bildirilenlerden daha önemli bir şekilde phishing'lerle popüler olduğunu ortaya koyuyor.
1 Ocak tarihleri arasında st , 2016 ve 6 Mart inci 2017, edelim şifreleme toplam yayınladı 15270 “PayPal”sözcüğünü içeren SSL sertifikaları verdi .
Bu rakam daha önce yayımlanmış olan tahminlerden on kat daha fazladır. Bu yayınlanmanın büyük bir çoğunluğu Kasım ayından bu yana gerçekleşti - o zamandan beri Let's Encrypt günde yaklaşık 100 "PayPal" sertifikası yayınladı.
Rasgele bir örneğe dayanarak, bu sertifikalardan% 96,7'sinin kimlik avı sitelerinde kullanılması amaçlanmıştır.
İnternet şu anda HTTPS'e HTTP, taşınıyor “herşeyi şifrelemek” için bir dizi girişimler tarafından teşvikŞifreleme herşey kötü siteleri kapsar ve kötü amaçlı sitelerde HTTPS yaygın kullanımı bazıları için bir endişe kaynağı olmuştur.
Güvenlik endüstrisi, uzun yıllar boyunca kullanıcılara HTTPS'yi ve yeşil asma kilidi "güvenli" bir siteyle ilişkilendirmeyi yanlış bir şekilde öğretti. Bu, kötü amaçlı bir genellemedir; bu, kullanıcıları SSL kullanan bir kimlik avı sitesinin gerçek olduğuna inanmalarına neden olabilir.
Buna ek olarak, Chrome'un yeni kullanıcı arayüzü, geçerli bir SSL sertifikası ve HTTPS yapılandırması ile her sitede yanında "Güvenli" görüntüler. Kullanıcının bunun anlamını yanlış yorumlama ve bir kimlik avı sitesini meşru görme şansı nedir?
Araştırmamız PayPal kimlik avı için yoğunlaşırken, Bank of America, Apple kimlikleri ve Google gibi başka birçok hedef var. Let's Encrypt bu sertifikalardan binlerce daha yayınladı .
Bu yeni veriler açıkça, kimlik avı sitelerinde HTTPS kullanımının önceden düşünülenden daha yüksek olduğunu gösteriyor.
Veri
Bu bölüm verilerimizi ve metodolojimizi genişletmektedir.
Kaynağımız
Let's Encrypt, yayınladığı tüm sertifikaları , CA'ların faaliyetlerine toplumsal şeffaflığı artırmak için tasarlanmış bir mekanizma olan, sertifika şeffaflık günlüklerine gönderir . Günlükler ayrıca bir CA ve SSL sertifika ekosistemini analiz etmek isteyen araştırmacılar için mükemmel bir kaynaktır.
Şu anda isteğe bağlı bir uygulama olduğu için tüm CA'lar sertifikalarını günlüğe kaydetmez ( uzun süre değil ). Çünkü gönüllü olarak şifreleyelim günlükleri yazalım, onun yayınlanma etkinliği hakkında çok doğru veriler elde etmemizi sağlar.
Geçen hafta Let's Encrypt'in 988 "PayPal" sertifikası yayınladığını bildirdik. Bu rakam önceki eserlerde kullanılan metodolojiden geldi. Daha fazla araştırma yapıldıklarında, yöntemin kapsamı sınırlıydı ve nüfusun yalnızca küçük bir bölümünü ele geçirdi.
Yeni 15,270 sertifikamız Comodo tarafından işletilen bir Sertifika Şeffaflığı arama motoru olan crt.sh'den geliyor. Yani 25 Mart tarihleri arasında (bir Ortak Ad veya SAN) bir yere Sertifikanın kimlikler kelimesini “PayPal” içeren edelim kakmak tarafından verilen sertifikaların toplam sayısıdır inci 6, 2016 ve Mart inci2017 (arama, tümünü kapsayan 2016, ancak eşleşen sertifikalar Mart ayına kadar verilmemiş). Bu, adın herhangi bir yerinde "PayPal" içeren tüm ana makine adlarını içeren bir alt dizesidir.
Böyle bir eksik arama, sorgunun ölçeğinden dolayı crt.sh web sitesinde mümkün değildir. Crt.sh'yi geliştiren Rob Stradling, veritabanına doğrudan sordu ve talep üzerine bu verileri bana sağladı.
Diğer CA'lara Şifreleme işlevini karşılaştırmak için, crt.sh veritabanında bulunan diğer CA'lar için aynı tarih aralığında aynı aramayı yaptık. Aynı süre boyunca, diğer tüm CA'lar, kimlik avı siteleri için potansiyel olarak kullanılan 461 "PayPal" sertifikası yayınladı. Bu sayı, PayPal tarafından işletilen meşru siteler ve hizmetler olarak güvenle elenebilecek sonuçları hariç tutuyor.
Çoğu CA'lar sertifika şeffaflığına katılmadığından, sertifikaları bir üçüncü şahıs oturum açmaya karar verirse sertifikalar yalnızca bir günlüğünde görünür. Dolayısıyla, diğer CA'lar tarafından verilen bazı "PayPal" sertifikaları günlüğe kaydedilmemiş ve bu nedenle sayılmamıştır. Ancak, ben numara oldukça doğru olduğuna inanıyoruz ve biz hata bizim marjı ile çok cömert olsa bile kombine diğer tüm CA'lar az 1/10 temsil th PayPal phishing sertifikalarının Hadi şifrelemek hacminin. Bu, PayPal kimlik avı sitelerinde SSL sertifikalarının kullanılmasının Let's Encrypt'in piyasaya girişi ile doğrudan bağlantılı olduğunu gösterir.
Verim Oranı
Phishing'leri seçtikleri CA'sı olarak şifrelemek için biraz zaman geçti. Bizim arama 1 Ocak arasında verilen tüm sertifikaları kaplı st 2016 ve 6 Mart inci 2017.
Let's Encrypt, 2015 yılının sonlarından beri, genel beta olduklarında sertifikalar yayınlıyor. 25 Mart dek Ancak Paypal için ilk edelim Şifrele phishing sertifikası verilmiş değildi inci Sağda, 2016 bir aylık arıza olduğunu.
Kasım 2016'da PayPal sertifikalarının sayısı önemli ölçüde arttı. Artış için belirli bir neden yok gibi görünüyor. Kelimenin, kimlik avı toplulukları arasında yayılması ve teknik uzmanlığın geliştirilmesi biraz zaman aldı olabilir.
HTTPS'yi teşvik eden çeşitli girişimler, aynı zamanda phishing'lere itiraz edecektir. HTTP / 2 gibi birtakım performans avantajları yalnızca HTTPS kullanan sitelerde kullanılabilir. Buna ek olarak, geçerli SSL sertifikalarını kullanan sitelere, kimlik avı sitesi daha meşru görünen tarayıcılar (tüm tarayıcılarda asma kilit simgesi, Chrome'daki "Güvenli" etiketi) tarafından güvenilir UI göstergeleri verilir.
Kasım ayında, ilk kez 1000'den fazla "PayPal" sertifikası düzenlendi. Bu sayı ertesi ayında iki katına çıktı ve o zamandan bu yana aylık artış kaydetti. Bu yılın Şubat ayı, henüz 5.000'in üzerinde sertifikaya sahip en yüksek ihracı görmüştür.
Etkinlik miktarı önemli ölçüde arttığı Kasım ayından bu yana, günde ortalama 100'den fazla "PayPal" sertifikası düzenlendi.
Şimdiye kadar elde bulunan verilere dayanarak, bu ayın (Mart 2017) 2016 yılının Haziran ayından bu yana ilk tam ayında gerilemesi olacak.
Kimlik avı yaygınlığı
15,270 sertifikanın% 96,7'sinin kimlik avı için kullanıldığı (14,766 sertifikanın) olduğu tahmin ediliyor. Çoğu kimlik avı sitesi, hızlıca web barındırıcılarına bildirilir ve Güvenli Tarama ve daha sonra çevrimdışı olarak alınan hizmetler tarafından tespit edilir. Bir kere tehlikeli olarak işaretlendiğinde, kimlik avı sitesi gereksiz olur. Sitelerin çoğunluğu halen herhangi bir faaliyette bulunmuyor.
Kimlik avı sitelerinin oranı ile yasal olanların oranını belirlemek için, 1000 sertifikanın rastgele bir örneğini ele alıp elle inceledik. Sertifikaların büyük çoğunluğu için ana bilgisayar adı, sitenin amacını netleştirdi. Olmadığı zamanlarda siteleri "meşru" olarak etiketleyerek yanlış pozitiflikleri önledik ve gerektiğinde siteleri ziyaret ettik.
Daha önce bildirilen verilerimizde, tüm sertifikalarda aynı kontrolleri yaptık. Bu 988 grubunda, sitelerin yalnızca 4'ü meşruydu ve bize% 99.6 oranında bir kimlik avı oranı verdi.
Yeni örneğimizde% 96.7 oranında bir kimlik avı oranı bulduk.
Her iki durum da, Let's Encrypt tarafından yayınlanan neredeyse tüm "PayPal" sertifikalarının kimlik avı amaçlı olduğunu ve meşru kullanıcılar yalnızca bir basamaklı paylaşım oluşturduğunu göstermektedir.
Sonuç
Mevcut trendlerin devam ettiğini varsayarsak, Let's Encrypt , bu yılın sonuna kadar 20.000 ek "PayPal" sertifikası yayınlayacak .
Let's Encrypt, her web sitesini şifrelemek amacına uygun olmadığından, sertifika vermeyi denetleme ve sertifikaları iptal etme konusunda el ele verme yaklaşımı edinmeli.
Bu yaklaşımın geçerli nedenleri olduğuna inanıyoruz, fakat onun sınırsız başvurusunu sorguluyoruz. Önceki yazıyı yayınladıktan sonra, web sitemizde ve sosyal medyada toplulukla büyük bir tartışma yaptık. Karadeniz'i "PayPal" ı Şifreleyelim isteğime karşı çok iyi itirazlar vardı ve şimdi bu sorunun çözülmesi için diğer olası çözümlerin ve izlenmesi gereken diğer son hedeflerin olduğunu düşünüyoruz.
Bu genişlemiş rakamların yayınlanmasındaki ana hedefimiz, kimlik avı sitelerinde SSL kullanımının ne kadar popüler olduğunu göstermektir. Let's Encrypt, 2017 yılı sonunda 35.000'den fazla "PayPal" sertifikası yayınlayacaksa, diğer popüler siteleri ve hizmetleri hedefleyen on binlerce kişi muhtemelen. Güvenlik camiası ve genel olarak internet kullanıcıları, bu etkinliğin kapsamından haberdar olmalıdır.
Güvenlik topluluğu daha önce , kötü niyetli sitelerde SSL kullanımı hakkında spekülasyonlar yapmıştı. Bu verilerin, en azından kimlik avına ilişkin alt kategorisinde yaygın bir kullanım olduğunun erken kanıtı olduğunu umuyoruz. Kimlik avı amaçlı gelecekteki çalışmalar, HTTP yerine HTTPS kullanarak kimlik avı sitelerine verilen meşruiyetin potansiyel yararlarını ve görünümünü göz önüne almalıdır.
.png)
