Pubblicato il: 27-03-2017

L’Autorità di certificazione (CA) che rilascia certificati gratuiti Let's Encrypt ha emesso, fino ad oggi, quasi 15.000 certificati contenenti il ​​termine "PayPal" per i siti di phishing.

Secondo l'esperto di crittografia Vincent Lynch, il 96,7% dei 15.270 certificati di sicurezza contenenti il ​​termine PayPal emesso da Let's Encrypt dal marzo dello scorso anno sono stati rilasciati per siti di phishing. La maggior parte di questi certificati sono stati emessi da novembre 2016.

Lanciato pubblicamente nel dicembre 2015 e uscito in versione beta nell'aprile 2016, Let's Encrypt è un'iniziativa basata sull'idea di mettere in sicurezza i siti Web e di servirli su Transport Layer Security (TLS). I certificati della CA sono offerti gratuitamente e i processi di emissione e manutenzione sono automatizzati, per facilitare ai proprietari di siti Web l'ottenimento dei certificati.

Ancor prima di essere lanciato, Let's Encrypt alimentava i timori che potesse essere abusato dai criminali informatici per i loro nefasti scopi. Inoltre, la CA afferma che non è suo compito impedire ai siti dannosi di utilizzare i propri certificati, il che significa che gli hacker possono utilizzare i propri certificati senza temere che possano essere vietati.

“Nonostante le preoccupazioni di molti nel settore, la posizione di Let's Encrypt è pienamente conforme agli standard. Indipendentemente da ciò, questa politica unita all'offerta di certificati gratuiti crea un ambiente molto attraente per i phisher", afferma Lynch.

All'inizio di marzo, l'esperto di crittografia ha invitato Let's Encrypt a smettere di emettere certificati PayPal a causa del loro utilizzo per il phishing. All'epoca, ha stimato che la CA aveva emesso 988 certificati contenenti il ​​termine PayPal e che il 99,5% di essi veniva utilizzato (o era stato utilizzato) per il phishing.

Ora, sulla base dei dati appena ricevuti, Lynch afferma che ha sottovalutato il reale numero e che Let's Encrypt ha effettivamente emesso un totale di 15.270 certificati SSL contenenti la parola "PayPal", 14.766 dei quali sono stati (o sono) utilizzati per il phishing. La stima si basa sull'analisi di un campione casuale di 1.000 certificati, il 96,7% dei quali era destinato all'uso su siti di phishing.

Il numero di certificati PayPal emessi da Let's Encrypt è cresciuto ad un ritmo costante di circa 1250 al mese dal novembre dello scorso anno. Novembre è stato anche il primo mese durante il quale sono stati emessi più di 1000 di tali certificati. La CA ha emesso 2530 certificati PayPal a dicembre 2016, 3995 a gennaio 2017 e 5101 a febbraio 2017.

Secondo Lynch, non vi è alcuna causa specifica apparente per l'aumento. Tuttavia, sembra che il tasso di emissione abbia iniziato a diminuire questo mese. Anche così, Let's Encrypt dovrebbe emettere 20.000 certificati PayPal aggiuntivi entro la fine del 2017.

I siti di phishing, di solito, hanno una durata molto breve, principalmente perché tendono ad essere segnalati e bloccati piuttosto rapidamente, il che spiega perché i criminali informatici tendono a registrarne il maggior numero possibile. Renderli il più legittimi possibile aiuta anche questi siti a rimanere in vita più a lungo.

"Le varie iniziative che incoraggiano l'HTTPS sono suscettibili di attrarre anche i phisher". Esistono numerosi vantaggi in termini di prestazioni, disponibili solo per i siti che utilizzano HTTPS. Inoltre, i siti che utilizzano certificati SSL validi ricevono indicatori di interfaccia utente affidabili dai browser (l'icona del lucchetto in tutti i browser, l'etichetta "Sicuro" in Chrome) che rende un sito di phishing più legittimo ", osserva Lynch.

In un commento, Ilia Kolochenko, CEO della società di sicurezza Web High-Tech Bridge, ha dichiarato a SecurityWeek di essere d'accordo sul fatto che le autorità di certificazione non dovrebbero essere responsabili del blocco dei siti Web dannosi dall'ottenimento dei certificati di sicurezza.

"Penso che dovremmo separare la crittografia del traffico HTTP e le domande di verifica dell'identità del sito Web. La missione di Let's Encrypt è convertire globalmente il traffico HTTP in traffico HTTPS crittografato e lo stanno facendo abbastanza bene. Tuttavia, avrebbero dovuto prevedere un massiccio abuso da parte dei phisher e implementare almeno alcune verifiche di sicurezza di base, come il rifiuto dei certificati SSL per i domini che contengono nomi di marchi popolari all'interno ", ha affermato Lynch.

Secondo Kolochenko, il fatto che i browser Web contrassegnino i siti HTTPS come affidabili è in realtà un problema grave, poiché incoraggiano gli utenti a fidarsi ciecamente del sito Web senza alcun motivo giustificabile. Per questo motivo, afferma, è piuttosto difficile misurare che la negligenza ha contribuito maggiormente all'aumento delle campagne di phishing.

Tuttavia, ha anche espresso il timore che, l'idea di crittografare tutto il traffico web, possa far sì che il malware sia in grado di bypassare i meccanismi di sicurezza in modo più efficiente. Lynch afferma: "Sono abbastanza sicuro che se vedremo quanti dei certificati SSL Let's Encrypt saranno utilizzati dagli hacker, i risultati saranno piuttosto spaventosi.

Pertanto, è difficile prevedere in che modo Let's Encrypt modellerà la sua strategia di crescita in futuro per impedire ai criminali informatici di abusare del suo desiderio di rendere il web più sicuro."

Pertanto, è difficile prevedere in che modo Let's Encrypt modellerà la sua strategia di crescita in futuro per impedire ai criminali informatici di abusare del suo desiderio di rendere il web più sicuro."

| Articolo Originale |