Kategorie
Dla Znajomych

DlaZnajomych04: Zielona kłódka nie wystarcza w 2020 roku. Jak rozpoznać fałszywą stronę?

Wstęp

Witajcie! Mam nadzieję, że macie się po Świętach <możliwie> jak najlepiej i zdrowo. Dziś obiecany wpis o rozpoznawaniu fałszywych stron (szczególnie strony z płatnościami), który zresztą piszę razem z Wami – z Waszymi trafnymi komentarzami do tematu ;-). Dowiecie się dziś:

  • dlaczego zielona/szara/czarna kłódka w przeglądarce “nie wystarcza” w 2020 roku
  • co wpływa na wiarygodność strony
  • jak sprawdzić czy strona jest fałszywa

Zachęcam do zrobienia zadania domowego na końcu wpisu, dla ambitnych podrzucę też link do prostego webinaru o kłódkach, który akurat odbył się wczoraj.

Kubek w dłoni? Ruszajmy!

Przeczytanie zajmie Ci: 7 min.

Do czego służy zielona kłódka?

Dawno, dawno temu… rekomendowano w bankowości online sprawdzanie czy obok adresu jest “zielona kłódka”. Dawniej rzeczywiście świadczyło to w większości sytuacji o tym, że dana strona jest zweryfikowana i prawdziwa. Od kilku lat ikonka kłódki w przeglądarce obok adresu, która zresztą może być zielona, szara lub czarna, nie gwarantuje Wam tego, że strona jest prawdziwa.

Należy też być czujnym, gdy kłódka jest przekreślona lub czerwona.

Do czego więc służy ikonka kłódki i co ona oznacza? W konkretach:

  1. Pokazuje, że połączenie z Waszej przeglądarki do strony (serwera) jest poufne, czyli szyfrowane

W dużym skrócie: jeśli ktoś chciałby Was podsłuchać “po drodze” np. w kawiarni, w hotelu albo Wasz przebiegły dostawca Internetu chciałby ukraść Wam hasło w czasie jego “transportu” np. do serwera bankowego, nie może tego w ten sposób zrobić, bo: jeśli kłódka jest zielona, szara i szyfrowane połączenie działa poprawnie (tzw. protokół https), to zamiast Waszego bezpiecznego hasła z managera, zobaczy jedynie przypadkowe “krzaczki”.

  1. Pokazuje, że z szyfrowaniem połączenia jest problem, jeśli kłódka jest czerwona lub przekreślona

Może to oznaczać, że szyfrowanie zupełnie nie działa i możliwe jest przechwycenie ruchu, certyfikat strony jest już nieważny, Wasza firma/szkoła/dostawca Internetu chce podglądać Wasz ruch i podstawia “swój certyfikat”. Temat jest szeroki, należy jedynie uważać przy akceptowaniu wyjątków certyfikatów, gdy przeglądarka wyświetli wielką stronę ostrzegawczą 🙂 Nie zawsze jest to niebezpieczne (np. firma mogła zapomnieć o odnowieniu daty ważności certyfikatu, tak jak puszka tuńczyka się może przeterminować, ale nadal być zdatna do spożycia ;)), ale czasem jest to oznaka fałszywej strony lub problemów “na połączeniu”. Widząc ostrzeżenie, warto dwa razy zastanowić się nad nim zanim je zaakceptujesz i pamiętać, że w przypadku ważnych stron, jak banki czy skrzynka pocztowa, takie ostrzeżenia są nieakceptowalne.

  1. Nie potwierdza, że właściciel strony i strona jest na pewno prawdziwa i ma dobre intencje.

Przestępca może sobie zainstalować swój certyfikat i mieć kłódkę na swojej fałszywej stronie. Ba, nawet zwykły prosty bloger, może sobie zainstalować certyfikat i nadal może przekazywać fałszywe treści ;-). Jak wspomniałem, kłódka oznacza jedynie, że połączenie jest szyfrowane, protokół https jest używany, więc i certyfikat jest zainstalowany. Do certyfikatów zaraz wrócimy.

MałyWyciek (ciekawostka ze świata IT): ADA

Ada to język programowania z lat 80. ubiegłego wieku, stworzony dla Departamentu Obrony Stanów Zjednoczonych. Ciekawostką jest fakt, że otrzymał swoją nazwę na cześć brytyjskiej matematyczki i poetki lady Augusty Ady Lovelace, która żyła w XIX wieku i jest przez niektórych uważana za pierwszą programistkę w historii :).

Więcej źródeł dla chętnych: 1 2 3

Co wpływa na wiarygodność strony?

Wiemy już trochę o kłódkach i szyfrowaniu połączenia do strony. Jeśli one nie wpływają (lub wpływają mało) na wiarygodność strony, to na jakie inne czynniki zwrócić uwagę? Przeanalizujmy fałszywą stronę płatności, co do której mieliście słuszne intuicje :).

  1. Pozycja i opis strony w Google i wyszukiwarkach – porada ogólna

Da się zauważyć czy strona jest kontrowersyjna i krzyczy nagłówkami, okazjami, reklamami lub w przypadku stron z płatnościami: czy w ogóle taka strona jest znana jako strona operatora płatności.

  1. Adres/nazwa/domena strony

Na pierwszy rzut oka często widać, że coś jest nie tak. Ale czasem przestępcy stosują różne triki:

a. podobnie brzmiąca część adresu ukryta w subdomenie (podstronie), która jest pod kontrolą przestępcy, na przykład: facebook-info, fakty-koronawirus24, epity2020, allegro.pl.showltem, 24platnosci itp.

b. adres ze specjalnymi znakami, który udaje prawdziwy adres

Zagadka! Który poniższy adres strony jest prawdziwy? Gwarantuje Wam, że to są dwa różne adresy :).

Odpowiedź na to pytanie znajdziecie w zadaniu domowym. Całe szczęście, wiele przeglądarek i Facebook pokażą Wam prawdziwy adres i nie pozwolą wejść na fałszywy (tutaj: fałszywy, ale bezpieczny, stworzony w celach edukacyjnych). Warto wiedzieć, że przestępcy mogą stosować tzw. Unicode do ukrycia fałszywego adresu na niektórych wersjach przeglądarek.

c. skrócony adres do fałszywej strony

Często przestępcy ukrywają swoje strony pod skróconymi adresami w popularnych serwisach, np. bit.ly. Uważajcie, gdy coś wydaje się zbyt atrakcyjne, by mogło być prawdziwe… 😉

  1. Wydawca certyfikatu

Sama kłódka nie zapewnia wiarygodności, ale już “wydawca” certyfikatu ma większe znaczenie. W uproszczeniu: w profesjonalnych rozwiązaniach bank/firma wykupuje u zaufanych dostawców certyfikat i weryfikuje się “w realu”, nie wirtualnie. Przeglądarki internetowe mają wgraną swoją bazę “zaufanych dostawców”, więc po wejściu na stronę banku widzą “aha, ten certyfikat wystawił zaufany dostawca, który na pewno w rzeczywistości zweryfikował, że ten bank jest prawdziwy, ważność nie wygasła, wszystko ok, wyświetlam ten certyfikat bez problemów”.

Jeśli znamy zaufanych dostawców (w Polsce to np. Unizeto, w świecie to np. Entrust, DigiCert), może nam to pomóc stwierdzić – choć nie na 100 procent, bo nawet duży dostawca, czasem przestaje być zaufanytak, to z dużym prawdopodobieństwem jest prawdziwa strona

  1. Treść i forma na stronie

Oczywiście, treść i forma mogą również oznaczać, że strona jest fałszywa. Co wzbudza podejrzenia?

  • adres strony (inpost) i treść (PayU!) nie pasują do siebie
  • treść strony jest nielogiczna (przelew do ZUS w ten sposób? o takiej kwocie?)
  • żądanie podania zbyt wielu danych na danej stronie
  1. Źródło, z którego dostaliście się na stronę

W sumie to jeden z ważniejszych czynników. Jeśli jakaś usługa, firma, strona, e-mail czy sms każe Wam coś zrobić “szybko”, zobaczyć coś “kontrowersyjnego”, “promocyjnego”, rozliczyć łatwo “PIT”, dopłacić jakieś “zaległości za przesyłkę” i zalogować się do banku – uważajcie.

Jak sprawdzić czy strona jest fałszywa?

Podsumowując, 7 kroków do sprawdzenia czy strona jest fałszywa:

  1. Pomyśl, skąd masz ten adres strony
  2. Zastanów się, czy adres nie wygląda na podejrzany, czyli czy nie jest tylko w części podobny do popularnych stron i serwisów, a dla skróconych adresów sprawdź w znanych serwisach, jaki jest pełny adres strony
  3. Zobacz, czy treść strony i jej forma nie wzbudza Twoich podejrzeń
  4. Skopiuj adres strony i sprawdź go w nowej karcie w wyszukiwarce
  5. Zwróć uwagę na wydawcę certyfikatu
  6. Dla najważniejszych stron, jeśli masz podejrzenia co do ich prawdziwości, użyj zewnętrznych serwisów bezpieczeństwa, np. VirusTotal.com dla sprawdzania adresów (tzw. URL)
  7. Jeśli podejrzewasz, że adres jest fałszywy, zgłoś go do zespołu bezpieczeństwa CERT Polska, który prowadzi listę fałszywych stron tworzonych przez oszustów

Aha, i sprawdźcie, czy czasem na stronie nie ma wielkiego czerwonego napisu, że strona jest fałszywa… 😉

Zadanie dla Was

Wasze kroki na ten weekend:

  1. Sprawdźcie, co wyświetli Wam się po wejściu na te trzy strony: 1, 2, 3. Czy pojawiły się jakieś ostrzeżenia? Czy widać jakąś różnicę w adresach?
  2. Wejdźcie na stronę Waszego banku – kliknijcie kłódkę i zapoznajcie się z wystawcą certyfikatu (“zweryfikowane przez”). Możecie też kliknąć “więcej informacji”-> “zobacz certyfikat”->”szczegóły” i poczytać jak wygląda certyfikat ssl/tls/https :).
  3. Dodajcie adresy najważniejszych* stron (bank, skrzynka pocztowa) do zakładek i logujcie się najlepiej przez korzystanie z zakładek w nowym oknie.

*możecie też do zakładek dodać adresy nienajważniejsze, ale mam nadzieję ciekawe, np. Uszczelka.IT 😉

  1. Sprawdźcie jakiś jeden skrócony adres, np. https://bit.ly/uszczelkait (podpowiedź dla serwisu bit.ly – możesz na końcu adresu dodać plusik (+) i przekieruje Cię wcześniej do sprawdzenia pełnego adresu, np. https://bit.ly/uszczelkait+ )
  2. Dla ambitnych: darmowy, jeszcze świeży webinar o kłódkach od Sekurak.TV!

Jeśli potrzebowalibyście pomocy w jakimkolwiek kroku – napiszcie do mnie, chętnie pomogę.

Podsumowanie

Najważniejsze wnioski na dziś to:

1. Zielona kłódka i tzw. protokół https nie mają zapewniać wiarygodności strony, ale poufność (szyfrowanie) komunikacji

2. Na stronach z płatnościami należy zwracać szczególną uwagę na adres/domenę strony, jej formę i spójną treść, a dla skróconych adresów z mniej pewnych źródeł sprawdzać ich pełną wersję przed otworzeniem

3. Jeśli po poprzednim wpisie włączyliście dwuskładnikowe uwierzytelnianie, to jesteście bezpieczniejsi – nawet jeśli komuś przypadkiem oddacie swoje dane logowania na fałszywej stronie, to kolejny składnik Was ochroni. A manager haseł ochroni Was przed utratą kolejnych kont. 

Tyle na dziś, jeśli chcecie o coś zapytać lub mogę Wam jakoś w tym temacie pomóc, to piszcie w komentarzu lub mailowo (at to inaczej @).

Do usłyszenia w piątek za tydzień o 13.14!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *