Команда Check Point Research обнаружила еще одну новую технику, которую используют продавцы поддельных сертификатов о вакцинации для обмена доверчивых покупателей. Многие из них утверждают, что имеют доступ к сайту «Европейского центра профилактики и контроля заболеваний» (European Center for Disease Prevention and Controls) и могут зарегистрировать в ней покупателя фейкового сертификата. Однако на самом деле мошенники создали специальный сайт, имитирующий базу данных европейского ведомства, а ссылка на якобы действительный сертификат ведёт на запись как раз в этой поддельной базе. Причем этот мошеннический сайт признается поисковой машины Google как заслуживающий доверия.
Фейковая база
Злоумышленники создали поддельный сайт, который имитирует настоящий сайт с базой данных вакцинированных людей. Если покупатель не проверит его подлинность — не переходя по ссылке, а найдя организацию через поисковую систему Google — то он может действительно подумать, что сайт настоящий. Ссылку на поддельный сайт специалисты Check Point Research обнаружили в URL-адресе, который был встроен в QR-код сертификатов от одного из продавцов. Подлинный сайт располагается под адресу https://www.ecdc.europa.eu/en, а поддельный — https://ecdc.europa.eu.check0307.directory/coronavirus-response/covid-19-vaccine-digital-certifcate/key=DUKTGH48O4REQB8QDF88SOGM7PMNNLEQ/. Видно, что оба сайта используют шифрование, то есть у обоих есть свой SSL-сертификат. Причем в них не указаны компании, которые регистрируют сайт, что и позволяет реализовать схему SSL-фишинга.
Разработчикам поддельного сайта, видимо, с помощью технологии SEO удалось обмануть поисковые системы, чтобы он заслужил доверие, поэтому документы, расположенные на нем, вполне могут убедить в том числе и пограничников или представителей других проверяющих инстанций в том, что человек действительно зарегистрирован как полностью вакцинированный. Естественно, что представители различных стран не всегда могут самостоятельно определить насколько конкретный сайт является официальным однако в них традиционно не указывается официальный статус сайта. Коммерческие центры регистрации практически не проверяют организации, которые запрашивают у них сертификаты, поэтому информацию из SSL-сертификата невозможно использовать для достоверной верификации сайта. Эксперты конкретного государства в состоянии определить какие сайты являться официальными, но уже служащие контролирующих органов других стран не всегда могут справиться с этой задачей.
«Многие поставщики поддельных сертификатов заявляют, что имеют доступ к сайту «Европейского центра профилактики и контроля заболеваний», на котором хранятся данные о вакцинированных людях по всей Европе, — пояснил ситуацию эксперт по безопасности Check Point Лиад Мизрахи. — Они утверждают, что могут регистрировать покупателей в подлинной базе данных, и, если кто-то проверит, они будут отображаться как полностью вакцинированные. Затем продавцы присылают пользователю поддельные документы с якобы сайта Европейского центра профилактики и контроля заболеваний. Мало того, что непривитые люди получили простой и недорогой доступ к поддельным сертификатам, так теперь эти документы ссылаются на заслуживающие доверия сайты. До тех пор, пока не будет усилено международное сотрудничество между странами, и не появится единая глобальная база данных для проверки законности сертификатов, новые трюки злоумышленников будут продолжать создавать проблемы и нивелировать усилия по борьбе с пандемией».
Проблема доверия
Корнем проблемы SSL-фишинга является то, что легитимностью сайтов в Интернет занимаются коммерческие компании: разработчики браузеров определяют процедуру проверки SSL-сертификатов, которые выдаются также коммерческими регистрирующими центрами. Понятно, что коммерческие компании не будет заботиться о качественной проверке, которая может снизить их прибыль, поэтому зачастую проверяют только формальные признаки — официальные письма или другие документы, легальность которых особенно не проверяется. Однако в большинстве случаев имя компании или организации вообще не указывается в сертификате, поэтому невозможно определить официальный статус сайта. В результате пользователям приходиться доверять этим сертификатам либо информации из поисковых систем, которые также сопровождаются коммерческими компаниями и не всегда могут проверять легитимность сайтов в своей выдаче. Пока не будет построена международная система доверия или хотя бы в сертификатах официальных органов будет указан государственный статус сайта, понятный не только в конкретной стране, но и для официальных представителей других стран, подобные схемы мошенничества будут эффективными.
