Podvodné e-shopy s certifikátem

Určitě jste zaznamenali, že se opět objevilo několik případů, kdy si někteří lidé přes internet objednali nějaké zboží, ale žádné nedostali.

Převážně se jednalo o e-shopy, které nabízely vybrané zboží výrazně laciněji než ostatní a požadovaly navíc platbu předem. Možná, že už to mělo zájemce o koupi varovat a donutit je zajímat se více o serióznost daného e-shopu. Bohužel vidina získání výrobku často za zlomek původní ceny je pro většinu lidí prostě příliš lákavá. Tyto e-shopy dost často používají stejná nebo obdobná jména jako na trhu již zavedené e-shopy, ale není to pravidlo.

Položme si otázku, zda by byli klienti e-shopů lépe chráněni, kdyby e-shopy musely povinně používat certifikáty vydané nějakou důvěryhodnou certifikační autoritou? Ne, o nějaké ochraně by se dalo hovořit jen v případě EV certifikátů s rozšířeným ověřením (Extended Validation), protože jedině zde probíhá rozšířené prověření žadatele o EV certifikát a tudíž ho není tak snadné získat. Web, který používá EV certifikát, se od ostatních webu odlišuje tím, že v adresním řádku kromě ikony zámečku zobrazuje i název společnosti, který je podbarven zelenou barvou.

Můžete namítnout, že i zástupce organizovaného zločinu může požádat o EV certifikát, a těch pár tisíc, které za certifikát dá, se mu vrátí velice rychle. Jistě, ale musí splnit několik podmínek. Na adrese, která je uvedená v žádosti o certifikát se musí opravdu nacházet společnost daného jména, s viditelným vývěsním štítem a musí mít nějakou historii, což se ověřuje v obchodním rejstříku a případně i u banky. Také telefonní číslo musí být zveřejněno v nějakém seznamu. Žadatel musí být schopen provést na žádost CA požadovanou změnu na webu, aby tím prokázal, že je skutečným vlastníkem dané domény. Získat EV certifikát není tak snadné.

Ano, ale proč by měl útočník kvůli tomu zakládat vlastní společnost, když prostě může zfalšovat dokumenty opravňujícího ho jednat za již existující důvěryhodnou společnost. Není přeci nic zvláštního, že jedna společnost vlastní a spravuje více domén. K odhalení podvodníka by mělo dojít v okamžiku, kdy bude pracovník CA ověřovat u statutárního zástupce dané společnosti, zda je daná osoba oprávněná jednat za danou společnost. Co když si ale útočník zjistí, kdo je oprávněn jednat za danou společnost např. z whois databáze a přijde do CA s falešným občanským průkazem? V okamžiku, kdy pracovník CA zkontaktuje statutárního zástupce a zeptá se ho, zda daná osoba je oprávněna požadovat certifikát pro jejich společnost, pravděpodobně odpoví, že ano. Byť je toto nejslabší článek rozšířeného ověření, tak v ČR doposud nebyl zaznamenán jediný případ, kdy by došlo k útoku tímto způsobem.

V případě, že daný web nepoužívá EV certifikát, musel by jeho návštěvník, pokud by chtěl mít jakousi záruku, že se jedná o solidní firmu, udělat v podstatě totéž, co dělá CA. Předpokládejme, že návštěvník je více než zdravě podezřívavý, s ikonou zámečku se nespokojí a bude si chtít ověřit, zda je skutečně na té správné adrese. Co udělá? Ověří informace na certifikátu, zjistí, že certifikát je platný a vydán na společnost daného jména. Dále ověří např. pomocí služby whois na koho je doména registrována a pokud zde uvidí stejné údaje jako na certifikátu, tak se s tím nejspíš spokojí. Případně si ještě prověří danou společnost v obchodním rejstříku.

Paranoidní uživatelé nejspíš ještě zavolají na telefonní číslo, které je na webu uvedeno, jenže tušíte správně, jedná se o číslo útočníka. Jak ale může uživatel zjistit to správné číslo? Těžko, pokud se rozhodne danou společnost vyhledat přes Google, může se totiž lehce stát, že na prvních místech ve výsledcích vyhledávání budou zobrazeny též odkazy na falešné webové stránky, které si útočník za tímto účelem vytvořil, a které se budou pouze tvářit jako oficiální webové stránky dané společnosti. A dostat falešné stránky na přední místa ve vyhledávačích je díky technice SEO poisoning poměrně snadné. Dle Google je tato technika používána např. u falešných antivirů, které údajně tvoří až 15% všech škodlivých kódů. Kolik uživatelů si myslíte, že kontroluje, kdo je vlastníkem dané domény?

A co vy, kontrolujete při každé návštěvě webu, kdo vydal daný certifikát a ověřujete jeho otisk a prověřujete danou společnost v obchodním rejstříku nebo spoléháte na to, že web je chráněn pomocí DNSSEC a opatřen ikonou zámečku?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.


K článku “Podvodné e-shopy s certifikátem” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: