Фишинг с ложными SSL-сертификатами становится массовым — до четверти поддельных сайтов размещены на HTTPS-доменах. “Лаборатория Касперского” зафиксировала десятки миллионов угроз только за третий квартал. Зеленый замок не гарантирует подлинность ресурса — пользователи должны проверять доменное имя.

Крэйн Хассольд (Crane Hassold), руководитель отдела по исследованию угроз компании PhishLabs, охарактеризовал масштаб проблемы так: “В третьем квартале 2017 года мы наблюдали, что почти четверть всех фишинговых сайтов размещена на доменах HTTPS, а это почти вдвое больше, чем во втором квартале”. Он подчеркнул, что еще год назад эта цифра была менее 3%, а два года назад — менее 1%.

Стремительный рост фишинговых сайтов, использующих поддельные SSL-сертификаты, обусловлен как минимум тремя причинами. Первая заключается в том, что “переселение” происходит вслед за легитимными HTTPS-ресурсами, поскольку фишеры обычно полностью копируют компрометируемый сервис. И чем больше на безопасных HTTPS-доменах будет подлинных сайтов, тем заметнее станет рост буквально преследующих их фишинговых подделок.

Вторая причина связана с легкостью получения SSL-сертификатов. Это дешево, само оформление происходит быстро, к тому же на некоторых сервисах — таких, как Comodo и Let’s Encrypt, их выдают бесплатно. Любопытно, что фишинговые сайты прекрасно работают и без SSL-сертификации, и лишний шаг по ее получению злоумышленники делают только для того, чтобы ловушка сработала наверняка.

В этом как раз и заключается третья причина. Многие пользователи все еще думают, что наличие HTTPS автоматически означает подлинность — но это, увы, не так. Зеленый замочек и SSL-сертификат свидетельствуют только о шифровании связи между браузером и сайтом, который может быть как легитимным, так и поддельным. Даже если пользователь видит страницу с HTTPS, перед вводом личных данных нужно внимательно проверить имя домена.

В отчете за III квартал 2017 года “Лаборатория Касперского” сообщила о предотвращении почти 60 миллионов переходов на фишинговые страницы. Около половины попыток пришлось на сайты финансовой направленности, также среди компрометируемых ресурсов были мессенджеры, соцсети, онлайн-игры, блоги, транспортные, налоговые и другие сервисы.

Одна из причин массовости фишинга заключается в многократном использовании готовых пакетов — ZIP-файлов с клонами оригинальных страниц, “дополненными” вредоносными скриптами. Содержимое архива размещают на хостинговой платформе, а после блокировки сайта архив зачастую не удаляют. В октябре 2017 года аналитики Duo Security изучили такие забытые фишинг-паки и опубликовали отчет. Они выяснили, что из 7800 заблокированных и заброшенных ZIP-пакетов уникальными были всего 3200, то есть один архив злоумышленники использовали несколько раз.

Категории: Аналитика, Главное, Мошенничество