Популярные браузеры Mozilla Firefox, Google Chrome, Internet Explorer (а также производные от них) помечают HTTPS-сайты как безопасные. Это зачастую оправдано: при использовании защищенного соединения крайне сложно перехватить логины и пароли, вводимые пользователем на сайтах. Даже если информация попадет к злоумышленникам, она достанется им в зашифрованном виде. При этом далеко не все пользователи осознают, что HTTPS – не панацея от всех болезней, и защищенные сайты также могут быть небезопасны.

От чего не защищает шифрование?

Сразу оговоримся: шифрование HTTP-трафика очень полезно, особенно если на сайте предусмотрена регистрация и авторизация пользователей. Создание сервисов, работающих с личными данными клиентов без шифрования информации, просто недопустимо (к счастью, таких сайтов уже практически не осталось). Использование защищенных транспортных протоколов делает практически невозможным осуществление некоторых видов сетевых атак. Это прописные истины, которые уже много лет не утрачивают актуальности, поэтому крупные и небольшие сайты массово переходят на HTTPS (и правильно делают).

 

Однако у этого процесса есть и негативная сторона, которая в большей степени относится уже к области психологии.

Многие пользователи, замечая, что сайт использует HTTPS, априорно считают его безопасным. Логика здесь проста: браузер рисует зеленую иконку-замок, соединение шифруется, значит, все в порядке.

Но надо понимать: защищенное соединение гарантирует, что ваши данные не будут передаваться без шифрования. При этом подлинность используемого сайта не гарантируется! Вводимые данные могут быть использованы злоумышленниками, если вы ввели их на поддельном сайте.

Этим обстоятельством с недавних пор достаточно активно пользуются сетевые мошенники.

Шифрование на службе у злоумышленников

Опрос компании PhishLabs, специализирующейся на борьбе с сетевым мошенничеством, показал: 82% респондентов уверены, что зеленый замок в адресной строке подтверждает подлинность сайта. И, как мы уже отметили выше, это мнение ошибочно. Разумеется, данное заблуждение не могло не привести к появлению защищенных, но поддельных сайтов.

Наиболее простая схема использования выглядит примерно так:

  1. Регистрируется доменное имя, максимально похожее на адрес сайта какой-либо крупной компании, банка, соцсети и т.д.
  2. Создается фишинговая страничка, на которой пользователю предлагается авторизоваться. Дизайн страницы обычно также повторяет оформление крупного и известного сайта.
  3. Для большей убедительности злоумышленники получают SSL-сертификат для своего домена (нередко используются бесплатные сертификаты Let’s Encrypt).
  4. Создается спам-рассылка, копирующая дизайн и стиль уведомлений от банков, социальных сетей и т.п. При этом ссылки в электронных сообщениях ведут на фишинговую страницу.

Путем обмана преступники достаточно быстро получают доступ к личным данным тысяч пользователей тысяч пользователей, а потом перепродают эту информацию. Как правило, поддельные сайты «живут» недолго: фишинговые страницы блокируются поисковиками и хостинговыми компаниями. Однако даже за несколько часов можно собрать весьма солидную коллекцию пользовательских данных.

 

Если 3–4 года назад мошенники почти не пользовались HTTPS, но теперь доля защищенных поддельных сайтов достигает 25%. По-видимому, количество таких сайтов будет постоянно увеличиваться, поскольку пометка в адресной строке о безопасности ресурса делает пользователей менее бдительными. Конечно, это только на руку мошенникам, похищающим логины и пароли.

Как не стать жертвой мошенников?

Для того чтобы не попасть на поддельный HTTPS-сайт, достаточно соблюдать базовые меры предосторожности:

  1. Всегда проверяйте доменное имя сайта перед вводом личных данных. В случае сомнений можно проверить строки на эквивалентность, сравнив известный адрес сайта с содержимым адресной строки браузера. Сделать это можно множеством способов: например, воспользоваться редактором Notepad++ с плагином Compare или простыми сайтами вроде text-compare. Советуем добавить в закладки вашего браузера важные сайты, на которых вы часто авторизуетесь, и посещать страницы путем выбора нужной закладки. Также рекомендуем воздержаться от перехода по ссылкам, присланным неизвестными отправителями электронных писем и незнакомыми пользователями социальных сетей.
  2. Пользуйтесь комплексными антивирусными решениями с защитой от фишинга. Сейчас практически все производители антивирусов оснащают свои продукты дополнительными модулями, предотвращающими загрузку информации с поддельных сайтов.
  3. Не регистрируйтесь на малоизвестных сайтах, не внушающих доверия. Иногда владельцы ресурсов-однодневок продают электронные адреса и другие личные данные пользователей злоумышленникам. В дальнейшем эти данные используются для рассылки спама и приглашения пользователей на поддельные сайты.

Итак, теперь вы знаете, что HTTPS-сайты иногда могут быть небезопасны. Однако стоит заметить, что незашифрованные сайты далеко не всегда опасны. Конечно, личную информацию на таких сайтах вводить не стоит, но простая домашняя HTTP-страничка, как правило, не несет никакой опасности, несмотря на отсутствие замка в адресной строке. А вот сайтов с истекшими или недействительными SSL-сертификатами (перечеркнутый замок в адресной строке) действительно лучше избегать. В лучшем случае просроченный сертификат говорит о халатности владельцев сайта, не потрудившихся проверить настройки SSL. В худшем случае, такие сертификаты могут быть поддельными. Конечно, регистрироваться на сайтах с просроченными сертификатами не стоит. Помните: отсутствие бдительности угрожает безопасности личных данных!

 

Поделиться