הפישינג מגיע גם לעמודי HTTPS

המאמר נכתב ע”י ד”ר טל פבל

ומוגש ע”י עמותת “אשנב”

 

על פי מחקר של חברת TrendMicro מספר אתרי הפישינג מסוג HTTPS מצוי בעליה ויכפיל עצמו עד סוף שנת 2014. אחת הטענות היא כי קל לפושעים הקיברנטיים ליצור אתרים המשתמשים ב-HTTPS. בין אם על ידי פריצה לאתרים קיימים ובין אם באמצעות שימוש באתרים לגיטימיים או שרותים אחרים אשר עושים שימוש ב-HTTPS. אין לפושעים אלו כל צורך להשיג תעודת SSL הואיל והם מנצלים שרתים קיימים אשר להם תעודה זו.

 

 

אחד מהמקרים הידועים הוא הונאת פישינג באמצעות עמוד של PayPal, כאשר התוקפים עשו שימוש ב-HTTPS ובתעודות תקפות לשם הצבת העמוד הנגוע באתר לגיטימי אשר נפרץ.

 

מסתבר כי שימוש בעמודי HTTPS וחיפוש אחר צלמית המנעול, אינם מספיקים עוד כדי לבטוח באתר. הדרך היחידה להמנע מליפול קורבן להתקפות מסוג זה היא לבדוק בקפדנות את התעודה הדיגיטלית של האתר. היא צריכה להיות תקפה והשם בה צריך להיות זהה לשם הדומיין. כמו גם בדיקה שהעמוד נושא את שם הדומיין ולחפשו במנוע חיפוש.

 

בנוסף גילו המומחים כי הונאות הפישינג חודרות גם לעולם המכשירים הסלולריים. לפיכך אלו ממליצים לא לבצע עסקאות שלא באפליקציות מורשות ממקורות

 

לגיטימיים, אולם אפליקציות רבות נעדרות ניהול נכון של תעודות SSL, דבר המקל את פעולת התוקפים.

 

מהנתונים עולה כי ארה”ב היא המדינה המושפעת יותר מכל מעמודי פישינג ב-HTTPS.

 

 

 

 

 

 

ניתן להפיץ המאמר (תוך ציון שם הכותב) בכל אמצעי ובלבד שתירשם ההערה:
מופץ ברשות ובאדיבות עמותת אשנב, שזכויות היוצרים שייכות לה:  http://eshnav.org.il