Интернет-мошенники начинают использовать сертификаты EV-SSL

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 3 янв 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Веб-мониторинговая компания Netcraft сообщает об обнаружении нетривиальной атаки против платежной системы PayPal, проведенной в декабре. Взломан был британский поставщик услуг интернет-банкинга FasterPay, позиционирующий себя как провайдер полного спектра банкинговых услуг. На одном из подразделов сайта fastpay.co.uk злоумышленники разместили мошеннический сайт, выдававший себя за раздел платежного шлюза PayPal.

    Изюминка атаки заключалась в том, что на фишинговый сайт распространялось действие SSL-сертификата повышенной стойкости EV-SSL (Extedned Validation SSL). Это означает, что при посещении сайта мошенников, размещенного в поддиректории портала FasterPay, пользователи получали сообщение от браузера о том, что данный сайт является надежным и подлинным.

    Отметим, что стандартизирующий орган CA/Browser Forum описывает достаточно четкие правила, которые как поставщик сертификата повышенной стойкости, так и его пользователь должны соблюдать. Среди правил довольно подробно описываются как процедуры аудита со стороны поставщика сертификата, так и меры по валидации со стороны его пользователя. В сообщении Netcraft говорится, что в данном случае факт нарушений был очевиден, как со стороны провайдера, поставившего сертификат компании FasterPay, так и со стороны самой британской компании, использовавшей сертификат.

    Также Netcraft отмечает, что в свое время именно платежные интернет-сервисы были одними из самых горячих сторонников введения систем EV-SSL, как решения для интернет-банкинга повышенной надежности. Эксперты компании отмечают, что согласно правилам работы EV-SSL, FasterPay и его поставщик сертификата должны были регулярно проводить как ручное, так и автоматизированное сканирование сайта, на котором размещается система для обработки платежей.



    источник
     

Поделиться этой страницей