Protokol HTTP se počasi umika in vedno več spletnih strani uporablja SSL certifikat, ki omogoča prenos podatkov preko varnega protokola HTTPS. V tem času je v velikem porastu tudi uporaba Let’s Encrypt SSL certifikata, ki omogoča hitro in preprosto namestitev. Njegova uporaba je priljubljena predvsem zato, ker je na voljo popolnoma brezplačno. Tovrstni SSL certifikat lahko naložijo vsi lastniki spletnih strani, tudi spletni napadalci, kar ima lahko številne negativne posledice.

Primer: PayPal

Ker za pridobitev brezplačnega SSL certifikata ni predvidenega nobenega preverjanja, ga lahko brez težav pridobi prav vsak. Tako lahko tudi spletni napadalec svojo zlonamerno spletno stran, ki je videti takole …

Lažen PayPal na HTTPS povezavi

… spremeni v na videz originalno PayPal stran. Hiter in nenatančen pogled na URL vrstico deluje popolnoma legitimno: zelena varnostna ključavnica, HTTPS protokol in celo začetek domene je pravi.

Tudi ko preverimo certifikat, je vse videti pravilno, če nismo seznanjeni s tem, da Let’s Encrypt predstavlja brezplačen SSL certifikat, ki ga večja podjetja in finančne institucije praviloma ne uporabljajo.

Podrobnosti Let’s Encrypt certifikata

Za primerjavo si oglejmo še, kako deluje originalna spletna stran PayPala v primerjavi z zlonamerno, ki ima nameščen brezplačen SSL certifikat.

Original PayPal proti zlonamerni strani

Kot lahko vidite, so razlike minimalne. Zato vedno natančno preverite podatke, ko se vpisujete na spletne strani, ki od vas zahtevajo osebne ali bančne podatke.

Zaskrbljujoč je podatek, da je do sredine aprila 2017 Let’s Encrypt izdal več kot 3.048 certifikatov, ki vsebujejo besedo PayPal. Na enak način je bilo izdanih tudi veliko brezplačnih SSL certifikatov, vezanih na druge lažne spletne strani:

  • Google: 28.243 certifikatov,
  • Apple: 2.802 certifikata,
  • American Express: 1.713 certifikatov,
  • Visa: 790 certifikatov,
  • Amazon: 648 certifikatov,
  • MasterCard: 628 certifikatov.

Kako prepoznati zlonamerno spletno stran?

Domena

Če preverimo domeno paypal.com, lahko vidimo, da je bila domena registrirana leta 1999. Tudi ostale korporacije in finančne institucije imajo vsaj nekaj let stare domene, ki večinoma vključujejo samo ime blagovne znamke in domensko končnico. V kolikor naletite na domeno, ki poleg blagovne znamke vključuje še druge, večinoma nerelevantne besede, le-to preverite v preverjalniku domen, kot je na primer preveri.si. Za lažjo predstavo si oglejte nekaj primerov domen, ki so jih uporabili spletni napadalci:

  • adidassuperdiscounts.net,
  • faceeboooklogin.com,
  • paypal-on-line-service.net,
  • rayban-cheap-sunglasses.com,
  • greatloans-bank-of-america.net.

SSL certifikat

Kot smo že omenili, večina večjih organizacij, ki upravlja z občutljivimi podatki, uporablja plačljive SSL certifikate. Med njimi boste najlažje prepoznali razširjeni SSL certifikat, ki se od ostalih razlikuje po tem, da ima poleg zelene URL vrstice in ključavnice napisano tudi ime podjetja, kateremu je certifikat izdan, kar je razvidno tudi pri primeru PayPal.

Razširjeni (EV) SSL certifikat

Če spletna stran uporablja brezplačen SSL certifikat in ne veste, ali gre za legitimno ali zlonamerno spletno stran, preverite tudi njeno kakovost.

Kakovost spletne strani

Kot smo lahko videli na primeru PayPala, se spletni napadalci z videzom svoje strani želijo približati originalu z namenom, da zavedejo čim več spletnih uporabnikov. A vseeno lahko na sami strani najdete vsaj tri znake, ki kažejo na to, da se ne nahajate na spletni strani, ki ste jo želeli obiskati.

1. Slaba slovnica na strani je hitro prepoznaven znak. Podjetja skrbijo, da je na njihovi strani čim manj slovničnih napak, če je teh precej, gre verjetno za škodljivo spletno stran. Poleg slovnice je pomembna tudi kakovost vsebine. Če stran na hitro preletite in ugotovite, da vsebuje veliko nerelevantne vsebine, spletno stran raje zapustite.

2. V primeru, da je stran zasičena z oglasi, pojavnimi (pop-up) okni in sumljivimi povezavami, gre v večini primerov za škodljivo stran, ki vas spodbuja, da kliknete na oglase, ki vas peljejo na druge zlonamerne strani.

Pop-up oglasi

3. Če kontaktni podatki na spletni strani niso jasno vidni, vam priporočamo, da na njej ne vpisujete svojih podatkov.

Spletne strani, ki operirajo z občutljivimi osebnimi in bančnimi podatki, naj ne bi imele nameščenega brezplačnega SSL certifikata, vendar to ne velja vedno. Svetujemo vam, da vedno preverite vse zgoraj opisane elemente, preden se zgodi, da vnesete svoje podatke na zlonamerno stran, ki jih bodo spletni napadalci zagotovo izkoristili.

Več o brezplačnem SSL certifikatu si lahko preberete v objavi Prednosti in slabosti Let’s Encrypt.