Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

В последние несколько дней интернет-сообщество активно обсуждает случай подделки сертификатов голландского центра DigiNotar и последовавшую кражу большого количества учетных данных. Эта история получила широкий резонанс: она имеет огромное значение как для рядовых пользователей Интернета, так и для госорганов. Не будет преувеличением сказать, что она способна подорвать доверие к основам всемирной сети.



Что же произошло?

DigiNotar – это центр сертификации. Это значит, что данная организация вправе выдавать веб-сайтам сертификаты, которые обеспечивают безопасную передачу зашифрованных данных. Проще говоря, сертификаты позволяют организациям и пользователям подтверждать, что они те, за кого себя выдают. Это своего рода цифровые паспорта. Когда вы заходите на какой-либо сайт (например, на сайт банка или поставщика услуг электронной почты), происходит обмен сертификатами. Только после этого начинается передача данных. В вашем браузере есть список «корневых центров», сертификатам которых можно доверять. Если веб-сайт предоставляет действующий сертификат, то браузер доверяет ему. В таком случае начинается передача зашифрованных данных. Если сертификат принимается, все это происходит незаметно для конечного пользователя, то есть для вас. Центр сертификации Diginotar подвергся сетевой атаке и взлому, в результате чего было выпущено большое количество поддельных сертификатов. Стоит учесть, что этот список со временем может увеличиться.

Что такое действующий сертификат?

Действующим называется сертификат, который получен для того сайта, на котором он используется, не истек и, главное, выдан доверенной организацией. Именно последнее условие сложнее всего соблюсти тем, кто преследует преступные цели.
И что все это значит?

Если бы я мог поставить «посредника», например прокси-сервер, между вами и вашим банком, то мне было бы очень легко «вклиниться» и получить данные. Ведь «старый добрый» HTTP-трафик не зашифрован. Однако поток данных HTTPS – другое дело. Он зашифрован, и если у меня нет ключей для расшифровки, то я не смогу получить данные, которыми вы обмениваетесь с банком. Но предположим, что у меня есть такой же действующий сертификат, как и у банка. Тогда я могу обойти эту сложность. Мой прокси-сервер «прикинется» вашим банком, а я смогу расшифровать и прочитать все передаваемые данные. И только после этого отправлю их далее. Атаки такого типа получили название man-in-the-middle (MitM).

Кто под угрозой?

Обычно, когда мы выходим в Интернет, мы можем напрямую связаться с банком со своего компьютера. Сеть защищена, нам ничто не угрожает. Но если все мои данные идут через прокси-серверы, принадлежащие интернет-провайдеру или правительству (как в некоторых странах с жесткими законами), тогда я рискую. Владелец этого сервера может воспользоваться фальшивыми сертификатами и стать тем самым посредником. Кроме того, риску подвергаются пользователи общедоступных сетей, таких как открытые точки доступа wi-fi. Владельцы точек доступа также нередко пользуются прокси-серверами. В обычном случае зашифрованные данные просто передаются дальше, но если у владельца есть поддельный сертификат и дурные наклонности, то он может перехватить данные.

Кроме того, злоумышленник может заразить систему вредоносными программами, которые настроят ваш компьютер так, чтобы все данные шли через указанный прокси-сервер. Причем неважно, где вы живете. Для этого мне нужно только установить в вашу систему специальную программу. Как минимум один из фальшивых сертификатов позволяет подделывать «цифровую подпись программы». Эта подпись удостоверяет, что программа выпущена доверенной компанией. Поэтому в теории существует возможность установить на ваш компьютер что угодно.

Специалисты Trend Micro обнаружили доказательства того, что фальшивые сертификаты, выпущенные в результате взлома системы безопасности компании Diginotar, подозрительно несоразмерно сказались на пользователях в Иране. В Иране весь интернет-трафик проходит через одобренные государством прокси-серверы – что является идеальной схемой для атак MitM. При таком раскладе «преимущества» от владения фальшивыми сертификатами очевидны. Весь зашифрованный трафик, поступающий на взломанные адреса, при желании может быть расшифрован, и конечный пользователь об этом никогда не узнает. Стало известно, что среди обнаруженных фальшивых сертификатов некоторые оканчивались на com и org. Это означает, что весь трафик с любого сайта обоих доменов может быть перехвачен.

Итак, Интернет небезопасен?

Подорвет ли это происшествие доверие к безопасности сети в целом? Разумеется, нет; однако оно определенно высвечивает некоторые проблемные точки. Центры сертификации, задача которых – подтверждать подлинность и надежность интернет-серверов, должны следить за тем, чтобы безопасность их систем и сетей была на высшем уровне. Выражаясь метафорически, они представляют собой вершину «пищевой цепи» в мире Интернета. Системы безопасности должны создаваться с четким пониманием того, что рано или поздно кто-то попытается их взломать. Успешное реагирование на взломы в значительной степени зависит от того, насколько честно и прозрачно работают центры сертификации, ставшие жертвой подобной атаки.

Нельзя медлить с обнародованием данных о взломе. Это позволит максимально быстро аннулировать фальшивые сертификаты, чтобы они не принимались браузерами по всему миру. Только так можно смягчить последствия подобной атаки. К сожалению, в случае с Diginotar проблема вначале была объявлена минимальной, а полный «масштаб бедствия» стал очевиден лишь несколько дней спустя – недопустимо большой срок! Сейчас мы знаем, что был выпущен 531 фальшивый сертификат, включая сертификаты доменов .com и .org. Достаточно сказать, что по сравнению с этим подделка сертификатов WindowsUpdate кажется чем-то малозначительным.

Уже сейчас многие производители браузеров и операционных систем отказали в доверии сертификатам, выпущенным компанией Diginotar. Последствия для нее станут суровыми, если не фатальными.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 2025 году 50% фишинга и 32% скама пришлись на ретейл-сектор

В первом полугодии 2025 года мошенники особенно активно атаковали ретейл. На торговые сети, маркетплейсы и онлайн-магазины пришлось половина всех фишинговых атак и треть скам-схем. Финансовый сектор, который раньше был основной целью, уступил позиции: на него пришлось около 32 % подобных атак.

По данным исследования, только за первые шесть месяцев года злоумышленники создавали в среднем по 2299 фишинговых и 1238 скам-ресурсов на каждый бренд.

Ежедневно появлялось примерно по 20 новых мошеннических сайтов или аккаунтов. В сравнении с 2024 годом количество ресурсов выросло: фишинговых — почти на 8 %, скам-ресурсов — на 7 %.

Фишинг и скам различаются целями. Фишинг нацелен на получение логинов, паролей и другой конфиденциальной информации. Скам-схемы чаще направлены на прямое хищение денег.

Ретейл оказался особенно удобной целью: на один бренд из финансовой сферы приходится до 15 брендов торговых сетей, которые используют в схемах поддельной доставки, розыгрышей или «подарков».

Куда уходят мошенники

Больше всего ресурсов по-прежнему создаётся в виде сайтов — их доля достигла 57 %. При этом мошенники стали реже работать в мессенджерах (снижение с 35 % до 20 %) и активнее уходят в соцсети (рост с 8 % до 17 %). Причина проста: в соцсетях поддельные аккаунты блокируют быстрее, поэтому преступникам приходится плодить больше «зеркал», чтобы успеть захватить часть аудитории.

Интересно, что доля фишинговых доменов в зоне .ru заметно упала — с 95 % год назад до 49 % сейчас. Это связывают с более жёсткой политикой по блокировке. В ответ мошенники ушли в другие доменные зоны: .click, .sa.com, .pro и .info.

Главная цель — масштабирование

Аналитики отмечают, что мошеннические схемы эволюционируют: активно применяются новые технологии, включая искусственный интеллект. Цель остаётся прежней — автоматизировать атаки, увеличить их масштаб и максимизировать прибыль. Наибольшую угрозу представляют атаки «от имени» известных брендов: они одновременно бьют и по кошелькам жертв, и по репутации компаний.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru