Навіть з прогресом штучного інтелекту кіберзагрози старої школи все ще загрозливі. Чим довше використовується тактика, тим довше зловмисникам доведеться опановувати свої прийоми та проводити успішні ворожі атаки. Насправді фішингові атаки залишаються однією з найпоширеніших кіберзагроз, і хоча фішинг залишається давньою тактикою, удосконалення штучного інтелекту лише сприяють успіху зусиль соціальної інженерії. Коротше кажучи, незважаючи на час і технології, фішингові атаки все ще здатні спричинити хаос.
Згідно з дослідженням Proofpoint, 71% організацій були жертвами фішингових атак минулого року, результати успішних фішингових атак включали втрату даних та IP (33%), зараження програмами-вимагачами (32%) та фінансові штрафи (22%) ). І хоча фішинг зазвичай спрямований на електронну пошту, одним із ігнорованих, але критично важливих аспектів запобігання фішингу є керування та моніторинг сертифікатів SSL/TLS.
Зв’язок між фішинговими атаками та сертифікатами SSL/TLS полягає в ролі, яку ці сертифікати відіграють у встановленні довіри та безпечному спілкуванні в Інтернеті. Зловмисники використовують слабкі місця в сертифікатах SSL/TLS, неправильне керування ними або недовіру користувачів до них для здійснення фішингових атак.
Встановлення довіри за допомогою сертифікатів SSL/TLS
Сертифікати SSL/TLS використовуються для захисту веб-сайтів шляхом шифрування зв’язку між користувачем і сервером. Коли користувачі бачать значок замка або «HTTPS» в адресному рядку браузера, вони часто вважають, що веб-сайт безпечний і законний.
Фішери використовують цю довіру двома способами:
- Отримання сертифікатів для підроблених сайтів: зловмисники можуть отримати дійсні сертифікати SSL/TLS для фішингових веб-сайтів, які імітують законні. Багато центрів сертифікації (CA) видають сертифікати без ретельної перевірки намірів заявника, що дозволяє зловмисникам видавати свої шахрайські сайти надійними.
- Покладаючись на недоречну довіру користувачів: багато користувачів вважають, що наявність замка гарантує легітимність сайту, але це лише вказує на безпечне з’єднання, а не те, що сайт заслуговує довіри.
Використання прострочених або неправильно налаштованих сертифікатів
Організації, які неправильно керують своїми сертифікатами SSL/TLS, можуть ненавмисно сприяти фішинговим атакам:
- Сертифікати з простроченим терміном дії: якщо термін дії сертифіката SSL/TLS законного веб-сайту закінчується та залишається неоновленим, зловмисники можуть скористатися цим недоглядом. Вони можуть створювати фішингові сайти, видаючи себе за законний домен, вводячи в оману користувачів, які звикли взаємодіяти з сайтом.
- Неправильно налаштовані сертифікати: слабкі конфігурації або використання застарілих протоколів можуть створювати вразливості, якими користуються зловмисники, як-от видалення SSL або атаки на пониження версії. Ці недоліки можуть допомогти фішерам перехопити трафік або маніпулювати безпечними з’єднаннями.
Використання шахрайських або скомпрометованих центрів сертифікації (CA)
Фішери можуть використовувати скомпрометовані або шахрайські CA для видачі дійсних сертифікатів SSL/TLS для шахрайських доменів. Завдяки цим сертифікатам фішингові веб-сайти виглядають справжніми навіть для обережних користувачів, які перевіряють наявність HTTPS.
Фішинг як вектор атаки
У фішингових кампаніях зловмисники часто використовують доменні імена та сертифікати SSL/TLS, які дуже схожі на законні. Наприклад:
- Омографічні атаки : зловмисники реєструють домени, використовуючи символи, схожі на законні (наприклад, замінюючи «rn» на «m»). У поєднанні з дійсним сертифікатом SSL/TLS ці підроблені домени можуть легко обдурити користувачів.
- Фішинг Man-in-the-Middle (MITM): використовуючи вразливості SSL/TLS, зловмисники можуть опинитися між користувачем і законним веб-сайтом, перехоплюючи облікові дані або інші конфіденційні дані.
Без належного моніторингу організації можуть ненавмисно наражатися на ці ризики.
Запобігання фішингу за допомогою проактивного керування сертифікатами
Censys Search надає організаціям неперевершену видимість сертифікатів SSL/TLS в Інтернеті. Завдяки найбільшій у світі базі даних сертифікатів X.509, яка містить понад 17 мільярдів сертифікатів і постійно зростає, Censys дає змогу командам безпеки виявляти та усувати вразливості до того, як їх використають.
Censys Search може допомогти зменшити ризики фішингу за допомогою:
- Відстеження прострочених або неправильно налаштованих сертифікатів: Censys дозволяє організаціям проактивно контролювати свої сертифікати SSL/TLS. Виявляючи прострочені або неправильно налаштовані сертифікати, служби безпеки можуть швидко оновити або замінити їх, не даючи зловмисникам скористатися цими недоліками.
- Визначення центрів сертифікації (СА): надаючи детальну інформацію про центри сертифікації, які використовуються організацією, Censys допомагає гарантувати, що лише довірені центри сертифікації видають сертифікати для її доменів. Це зменшує ризик використання зловмисниками фальшивих ЦС для створення шкідливих сертифікатів.
- Забезпечення безпеки сертифікатів: служби безпеки можуть використовувати Censys для перевірки відповідності всіх сертифікатів поточним найкращим практикам шифрування та налаштування. Це мінімізує вразливості, подібні до тих, які використовують старі методи атаки (наприклад, видалення SSL або POODLE).
Бажаєте отримати реальний приклад із реального життя як запустити пошуковий запит Censys для сертифікатів SSL/TLS? Тоді звертайтесь до партнера Censys – компанії Ідеалсофт. У цьому прикладі, за допомогою лише трьох запитів ви можете успішно звузити 20 терабайт даних сертифікатів до невеликої кількості відповідних сертифікатів.
Censys пропонує багато й інших способів запиту даних, щоб допомогти виявити потенційні вразливості та зменшити ризики безпеки, пов’язані із сертифікатами.