無料のLet's Encrypt証明書は非常に人気があり、MozillaとEFFからのこの認証機関はすでにインターネット上で最大の認証機関の1つになっています。 残念ながら、無料のSSL証明書を取得する機会は、通常のサイトだけでなく、フィッシングサイトでも使用されています。 彼らにとって、緑のHTTPSアイコンの存在は重要な特性であるため、実際のサイトとの違いは顕著ではありません。 ブラウザはそのような偽物を「安全なサイト」としてマークします。
以前、セキュリティの専門家は 、Let's Encryptがドメイン名に「PayPal」という単語を含む証明書を発行しすぎることに気付きました。 SSLストアの専門家であるVincent Lynchは、フィッシングに使用される可能性が高いため、 そのような証明書の発行を停止するよう認証局に要求しました。 さて、 Let's Encrypt証明書を使用したフィッシングは、あなたが疑うよりもはるかに一般的な出来事であるという証拠が集められました。
Vincent Lynchはcrt.sh検索エンジン(Comodoで起動)と証明書の透明性ログを使用してデータを収集しました。Let 's Encryptは発行されたすべての証明書に関する情報を送信します。すぐにすべての認証局がこれを行います。 デフォルトでは、crt.sh検索エンジンではこのような広範なリクエストの処理が許可されていないため、研究者はcrt.shの開発者であるRob Stradlingに直接問い合わせ、データベースに直接リクエストを送信しました。
スペシャリストは、2016年1月1日から2017年3月6日までに、名前に「PayPal」という単語を含む15 720ドメインの証明書を発行しようとしています。
ご覧のように、フィッシング詐欺師はメインの認証局としてLet's Encryptを学ぶのに時間がかかりましたが、その後プロセスが進みました。 Let's Encryptは永久的な詐欺ツールになりました。 2016年12月以来、彼は毎日約100の「PayPal」証明書を発行しており、2017年2月には1日あたり180を超える証明書を発行しています。
数千のサイトのランダムサンプルの控えめな研究では、発行された証明書の96.7%がフィッシングサイトが運営されているドメインに属していることが示されました。 これは、15 720証明書のサンプル全体からの14 766フィッシングドメインに対応します。 ほとんどのフィッシングサイトはすぐにセーフブラウジングサービスフィルターに分類され、すぐにオフラインになります。 フィッシングサイトがブラウザで「危険」とマークされると、役に立たなくなります。 したがって、詐欺師は、絶えず相互に変化しているこのような多数のドメインを使用します。 CYRENの調査によると、セーフブラウジングでマークするかオフラインにする前のサイトの平均寿命はわずか2日です。
2017年3月のデータはまだ不完全ですが、「PayPal」ドメインの発行済み証明書の数が減った今月が最初のデータになる可能性があります。
この調査の著者は、「PayPal」ドメインのみで状況を調査したと述べています。これは、フィッシングの最も一般的な標的であるが、さまざまな銀行、Bank of America、Apple ID、およびGoogleサイトのドメインと同じ状況であるためです。 たとえば、ドメイン名に「applid」 が含まれる1963年の証明書です。
詐欺師によるSSL証明書の使用は、2015年後半に無料の認証局を立ち上げることに関する主な懸念の1つでした。 証明書が支払われていた昔は、特に各証明書の発行には特定の官僚的手続きが伴うため、攻撃者は何千もの証明書を購入する余裕がほとんどありませんでした。 これで証明書が無料になり、証明書の受け取りと更新を自動化できます。
専門家によると、現在の傾向によれば、Let's Encryptは年末までに「PayPal」フィッシングサイトに別の20,000の証明書を発行し、発行された証明書の総数は35,000に達します。
Let's Encryptの作成者は、サイバー犯罪を監視し、詐欺師を捕まえることは彼らのビジネスではないと考えています。 サイトのモデレートには関与しません。 このプロジェクトは、インターネットの「完全な暗号化」を目的としたいくつかの取り組みの1つです。 目標は、すべてを完全に暗号化することです。これは、HTTPSに切り替える「不良」サイトを含む暗号化を意味します。
セキュリティの専門家は、緑色のHTTPSセキュア接続アイコンがセキュリティを意味することを長年にわたってユーザーに教えてきました。 Chromeのような一部のブラウザでさえ、HTTPSを介してフィッシングサイトに接続すると、「セキュア」という単語の付いた緑色のバーが表示されるため、状況は悪化しています。
ここで、追加の説明作業を実行し、「安全な接続」が悪意のあるサイトでも起こりうることを説明する必要があります。 各専門家は完全に明確ですが、ユーザーの間で常にそのような理解があるとは限りません。これは詐欺師が使用するものです。 非難の一部は、UIブラウザーの開発者にあります。
情報セキュリティコミュニティは、悪意のあるサイトやソフトウェアが実際にHTTPSを広範囲に使用しているのではないかと考えていました。 これで、フィッシング業界でもこれが当てはまるという答えが得られました。