HTTPS nie oznacza pełnego bezpieczeństwa…

0
252

Widząc małą zieloną kłódkę opatrzoną napisem „Bezpieczna” po lewej stronie adresu internetowego, większość ludzi uważa, że strona jest bezpieczna. Podobnie jest ze słowami „Ta strona używa bezpiecznego połączenia” oraz gdy adres rozpoczyna się od „https”. Dziś coraz więcej stron wdraża HTTPS; tak naprawdę większość z nich nie ma wyjścia. W czym zatem tkwi problem? W końcu im więcej zabezpieczonych stron, tym lepiej, prawda?

Wyjawię Wam pewien sekret: napis „Bezpieczna” nie daje gwarancji, że strona jest chroniona przed wszystkimi zagrożeniami. Na przykład strona phishingowa może legalnie wyświetlać tę zieloną kłódkę obok swojego adresu https. Jak to możliwe? Sprawdźmy.

Bezpieczne połączenie nie gwarantuje, ze strona nie jest szkodliwa

Zielona kłódka oznacza, że strona otrzymała certyfikat, do którego wygenerowano klucze kryptograficzne. Wówczas strona szyfruje informacje, które są przesyłane podczas komunikacji z Tobą, a jest to oznaczone symbolem HTTPS widocznym na początku jej adresu, w którym ostatnia litera — „S” — oznacza „Secure”, czyli „Bezpieczna”.

Oczywiście szyfrowanie przesyłanych danych jest bardzo potrzebne: informacje wymieniane między przeglądarką a stroną nie są dostępne dla podmiotów zewnętrznych — dostawców usług internetowych, administratorów sieci, osób obcych itp. Umożliwia ono wprowadzanie haseł lub szczegółów związanych z kartą kredytową bez możliwości ich podejrzenia przez kogoś postronnego.

Problem w tym, że zielona kłódka oraz otrzymany certyfikat nic nie mówią o samej stronie. Wobec tego strona phishingowa także może uzyskać certyfikat i szyfrować cały ruch, który odbywa się między nią a użytkownikiem.

Mówiąc wprost, wszystkie zielone kłódki oznaczają, że nikt inny nie ma dostępu do wprowadzanych danych. Jeśli jednak strona jest fałszywa, hasła mogą zostać skradzione.

Korzystają z tego faktu phisherzy: według informacji opublikowanych na blogu PhishLabs obecnie za pośrednictwem stron HTTPS przeprowadzana jest jedna czwarta wszystkich ataków phishingowych (dwa lata temu było ich mniej niż 1%). Co więcej, ponad 80 procent użytkowników wierzy, że sam fakt istnienia tej małej zielonej kłódki oraz słowa „Bezpieczna” wyświetlanego obok adresu internetowego oznacza, że strona nie jest szkodliwa, przez co ludzie ci bez namysłu wprowadzają swoje dane.

A co w sytuacji, gdy kłódka ma inny kolor niż zielony?

Jeśli w pasku adresu nie ma kłódki, strona nie wykorzystuje szyfrowania i wymienia informacje z przeglądarką przy użyciu standardowego protokołu HTTP. Przeglądarka Google Chrome zaczęła oznaczać takie strony jako niebezpieczne. Choć mogą one być czyste jak łza, nie szyfrują ruchu między użytkownikiem a serwerem. Większość właścicieli stron nie chce, aby Google oznaczał je jako niebezpieczne, więc coraz więcej z nich decyduje się na zastosowanie opcji HTTPS. W każdym przypadku wprowadzanie wrażliwych danych na stronie HTTP nie jest dobrym pomysłem, bo każdy może je podejrzeć.

Może się też zdarzyć, że ikona kłódki jest przekreślona na czerwono, a kolorem tym jest oznaczony również skrót HTTPS. Oznacza to, że strona ma certyfikat, ale nie został on zweryfikowany lub jest przestarzały: w efekcie połączenie między użytkownikiem a serwerem jest szyfrowane, lecz nie ma gwarancji, że domena należy do firmy wskazanej na stronie. Jest to najbardziej podejrzany scenariusz; zazwyczaj takie certyfikaty są używane jedynie do celów testowych.

Jeśli certyfikat wygaśnie i właściciel nie zadba o jego odnowienie, przeglądarki będą oznaczać stronę jako niebezpieczną, jednak w bardziej stanowczy sposób — poprzez wyświetlanie czerwonej kłódki. W takich przypadkach lepiej unikać takich stron — nie wspominając o wprowadzaniu na nich jakichś danych osobistych.

Jak nie paść ofiarą oszustwa

Podsumowując, obecność certyfikatu i zielona kłódka oznaczają tylko tyle, że dane przesyłane między użytkownikiem a serwerem są szyfrowane, a certyfikat został wydany przez zaufany organ certyfikujący. Jednak nie zapobiega to sytuacji, w której strona HTTPS jest szkodliwa, a fakt ten jest najczęściej wykorzystywany przez oszustów phishingowych.

Dlatego zawsze należy zachować czujność — bez względu na to, jak bezpieczna wydaje się strona na pierwszy rzut oka.

  • Nigdy nie wprowadzaj loginów, haseł, danych bankowych ani żadnych innych informacji osobistych na stronie, dopóki nie upewnisz się, że jest autentyczna. W tym celu zawsze dokładnie sprawdzaj nazwę domeny; nazwa fałszywej strony może się różnić nawet tylko jednym znakiem. Upewnij się, że łącza nie są szkodliwe, zanim je klikniesz.
  • Zawsze zatrzymaj się na chwilkę i zastanów się, co konkretna strona oferuje, czy wygląda podejrzanie i czy naprawdę musisz się na niej rejestrować.
  • Upewnij się, że Twoje urządzenie jest dobrze chronione: Kaspersky Internet Security sprawdza adresy internetowe w obszernej bazie stron phishingowych, a także wykrywa oszustwa bez względu na to, jak „bezpiecznie” ona wygląda.