W maju tego roku, polskie media internetowe obiegła wiadomość o nowym ataku phisingowym, którego celem miały być dane kont bankowych klientów Biedronki. Wystarczyło wejść na stronę bony-biedronka.com a następnie poprzez zmodyfikowaną bramkę płatności DotPay, przesłać dane do swojego konta bankowego, otwierając jednocześnie równoległą sesję w internetowym oddziale banku.
Młot na certyfikaty SSL?
Medialna popularność tego ataku nie wiązała się wyłącznie z jego szkodliwością, lecz z możliwością ominięcia zabezpieczeń w postaci certyfikatu SSL. Takowy certyfikat faktycznie zabezpieczał spreparowaną stronę DotPay, co w pewnym stopniu zmyliło Klientów popularnej sieci dyskontów.
Czy zatem stosowanie certyfikatów SSL przestało być bezpieczne? Czy to koniec systemu, który konsekwentnie budowany jest od co najmniej kilkunastu lat?
Jak to było z tym certyfikatem?
Strona DotPay-a faktycznie była zabezpieczona certyfikatem. Problem polega na tym, że był to certyfikat typu DV (Domain Validation), który nie zawiera najważniejszych informacji o tożsamości zabezpieczanego podmiotu. Co więcej, certyfikaty te w żaden sposób nie weryfikują tego, czy dany serwis jest autentyczny, czy nie. Rola oprogramowania DV ogranicza się jedynie do oznaczenia połączeń szyfrowanych a te – jak w przypadku w/w ataku – występowało. Oznacza to, że sugerowanie się tzw. „zieloną kłódką” nie ma najmniejszego sensu. Zwłaszcza, jeśli mamy do czynienia z profesjonalnymi hakerami.
Nie tylko certyfikat
Wprawne oko w miarę doświadczonego internauty, powinno bardzo szybko wykryć podstawowe braki zabezpieczeń, tak charakterystyczne dla ataków typu phising. Oprócz wyżej wymienionego certyfikatu, problemem był również nieprawidłowy adres bramki płatności. Trzy najpopularniejsze w Polsce bramki płatności internetowych, posiadają następujące adresy:
1. Serwis Dotpay
– Nazwa firmy na certyfikacie: Dotpay S.A. [PL]
– Adres bramki płatności: ssl.dotpay.pl
2. Serwis Payu
– Nazwa firmy na certyfikacie: MIH PAYU B.V. [NL]
– Adres bramki płatności: secure.payu.com
3. Serwis Przelewy24
– Nazwa firmy na certyfikacie: PayPro S.A. [PL]
– Adres bramki płatności: secure.przelewy24.pl
Ponadto wybór jakiejkolwiek bramki płatności, wiąże się z zastosowaniem bardziej zaawansowanego certyfikatu bezpieczeństwa, posiadającego rozszerzoną walidację, najczęściej EV co potwierdzone jest wyświetleniem tzw. zielonego paska z nazwą firmy, dla której taki certyfikat SSL został wystawiony. Dzięki niej, możliwe jest nie tylko zabezpieczenie szyfrowanego połączenia, ale też potwierdzenie wiarygodności podmiotu, przez którego realizujemy wybrane transakcje.
Zanim skorzystasz, czyli podstawy bezpieczeństwa w sieci
1. Zwróć uwagę na nazwę podmiotu na certyfikacie. Jeśli go nie ma, zachowaj szczególną ostrożność.
2. Pamiętaj o odpowiednim adresie bramki. Adresu tego nie da się skopiować, choć może różnić się dwoma, lub trzema znakami.
3. Zwróć uwagę na jakość strony www. Ataki phisingowe są przeprowadzane zwykle za pośrednictwem kopii popularnych witryn, od których jednak w pewnym stopniu się różnią.
Wnioski, czyli słów kilka o certyfikatach
Jak można było się domyślić, opisany wyżej atak nie był skutkiem wadliwie działającego certyfikatu, lecz brakiem podstawowej wiedzy z zakresu bezpieczeństwa. Dziś wiele stron phisingowych jest certyfikowanych, co zresztą ma uśpić czujność Internautów. Niestety, w tym celu wykorzystuje się bardzo często darmowy certyfikat SSL, taki jak np. Let’s Encrypt (był on zastosowany w powyższym ataku).
Podsumowując, ostrożność przy dokonywaniu płatności internetowych jest równie ważna, co bardzo rozbudowane certyfikaty.