Jak rozpoznać fałszywą stronę internetową

10-12-2014, 18:50

Mogło się zdarzyć, że podczas próby otwarcia strony internetowej zobaczyliśmy Ostrzeżenie: odwiedzenie tej witryny może spowodować uszkodzenie komputera (po ang. Warning: Visiting this site may harm your computer). Takie komunikaty są generowane przez przeglądarki w oparciu o usługę Google Safe Browsing i nie należy ich ignorować. Mogą być one pierwszą oznaką, że docelowa strona została sfałszowana lub przejęta przez cyberprzestępców, którzy umieścili na niej szkodliwe skrypty.

» Uwaga: Towarzyszące artykułowi obrazki zawierają lokowanie marki. Osoby wrażliwe na tego typu reklamę proszone są o pomijanie ich wzrokiem ;-) «

 

Google umożliwia też samodzielne diagnozowanie stron pod kątem potencjalnych zagrożeń. Wystarczy w pasku adresu używanej przez siebie przeglądarki wkleić adres URL według szablonu:

http://www.google.com/safebrowsing/diagnostic?site=adres_strony

Po kilku sekundach zostanie wyświetlony raport bezpieczeństwa dla danej witryny. Podobnie działa usługa firmy AVG, znana wcześniej jako LinkScanner, dostępna na stronie: www.avgthreatlabs.com/website-safety-reports – w tym przypadku do formularza wpisujemy adres URL interesującej nas witryny.

Wiele programów antywirusowych zostało zresztą zaopatrzonych w moduł do sprawdzania stron internetowych, który działa jako rozszerzenie do przeglądarki i ostrzega użytkowników przed podejrzanymi witrynami. Niezależnym dodatkiem tego typu, który współpracuje z popularnymi przeglądarkami, jest Web of Trust (w skrócie WOT), który możemy zainstalować na stronie: www.mywot.com – aby to zrobić, wystarczy kliknąć przycisk Download.

Niebezpieczne literówki

Czy jesteśmy całkiem bezpieczni, jeśli analiza odwiedzanej przez nas strony przyniosła pozytywne rezultaty? Niestety nie zawsze. Przygotowana przez cyberprzestępców witryna może zostać zidentyfikowana jako niebezpieczna nie od razu. Przed zalogowaniem się zawsze warto sprawdzić, czy w adresie strony nie ma jakiejś literówki, cyfry udającej literę itp.

Twórcy fałszywych witryn często wykorzystują nieuwagę użytkowników, którzy podczas szybkiego wpisywania adresu URL w przeglądarce popełniają błędy literowe – wpisują np. googgle.pl zamiast google.pl albo w adresie facebook.com gubią literę o. Cyberprzestępcy celowo rejestrują domeny z literówkami w nazwach oraz bez kropki między www a właściwą częścią adresu (np. wwwgazeta.pl), licząc na to, że użytkownik oryginalnej witryny nie zauważy różnicy. Takie oszustwo nazywamy typosquattingiem albo porywaniem adresów URL (ang. URL hijacking).

Dane zamknięte na kłódkę

W przypadku stron banków, systemów płatności i sklepów internetowych powinniśmy też koniecznie sprawdzić, czy nasze połączenie jest szyfrowane protokołem TLS – adres strony będzie się wtedy zaczynał od https:// (nie od http:// jak zwykle). Jak słusznie zauważył jeden z naszych Czytelników, SSL jest wadliwą technologią i należałoby zaprzestać jej używania, co dobitnie pokazali odkrywcy ataku POODLE. Szkopuł w tym, że wciąż wiele stron nie pozwala na korzystanie z TLS, w tym np. citibank.pl. W przypadku takich stron - o ile nie możemy z nich zrezygnować - warto zawsze sprawdzać, czy nasze połącznie jest szyfrowane protokołem SSL.

Kolejnym elementem, który gwarantuje bezpieczeństwo odwiedzanej przez nas strony, jest symbol zamkniętej kłódki widoczny na pasku adresu wykorzystywanej przeglądarki. Po kliknięciu na kłódkę możemy zapoznać się z informacjami na temat certyfikatu bezpieczeństwa danej witryny.

Lepiej tego nie zaniedbywać, odnotowano już bowiem ataki z użyciem autentycznych certyfikatów na sfałszowanych stronach. Jak to w możliwe? Podstęp udaje się dzięki włamaniu na serwer legalnie działającej firmy, który zostaje następnie wykorzystany do opublikowania stworzonej przez oszustów strony. Może ona przypominać np. stronę logowania konkretnego banku, w rzeczywistości nie łączy się jednak z jego serwerem i certyfikatem. Używa natomiast certyfikatu przechwyconego wcześniej serwera legalnej firmy – dzięki temu na pasku adresu przeglądarki wyświetla się symbol zamkniętej kłódki informujący o szyfrowaniu połączenia.

Poniżej pokazujemy krok po kroku, jak wygląda sprawdzanie certyfikatu bezpieczeństwa w najnowszych wersjach popularnych przeglądarek zainstalowanych w systemie Windows 8. Weryfikujemy przede wszystkim ważność certyfikatu oraz to, czy został on wystawiony dla interesującej nas strony.

Mozilla Firefox

Tak wygląda pasek adresu poprawnie załadowanej strony bankowej i komunikat, który powinniśmy zobaczyć po kliknięciu symbolu zamkniętej kłódki:

Mozilla Firefox

Kliknięcie przycisku Więcej informacji… spowoduje wyświetlenie się certyfikatu bezpieczeństwa:

Mozilla Firefox

Google Chrome

Tak wygląda pasek adresu poprawnie załadowanej strony bankowej i komunikat, który powinniśmy zobaczyć po kliknięciu symbolu zamkniętej kłódki:

Google Chrome

Kliknięcie napisu Informacje o certyfikacie spowoduje wyświetlenie się certyfikatu bezpieczeństwa:

Google Chrome

Internet Explorer

Tak wygląda pasek adresu poprawnie załadowanej strony bankowej i komunikat, który powinniśmy zobaczyć po kliknięciu symbolu zamkniętej kłódki:

Internet Explorer

Kliknięcie napisu Wyświetl certyfikaty spowoduje wyświetlenie się certyfikatu bezpieczeństwa:

Internet Explorer

Opera

Tak wygląda pasek adresu poprawnie załadowanej strony bankowej i komunikat, który powinniśmy zobaczyć po kliknięciu symbolu zamkniętej kłódki:

Opera

Kliknięcie nazwy banku (w tym przypadku Bank Polska Kasa Opieki SA [PL]) spowoduje wyświetlenie się certyfikatu bezpieczeństwa:

Opera

Uwaga na nowości

Jeżeli nie jest to nasza pierwsza wizyta na danej stronie, warto zwrócić uwagę na wszelkie treści, których poprzednio na niej nie widzieliśmy. Naszą nieufność powinny wzbudzić np. odsyłacze, które prowadzą do dziwnych, niepowiązanych z nią miejsc. O ingerencji cyberprzestępców może świadczyć wyświetlenie się prośby o podanie nietypowych danych, np. numeru i modelu telefonu komórkowego w celu zainstalowania na nim aplikacji podnoszącej bezpieczeństwo. Jest to typowe działanie twórców mobilnych zagrożeń współpracujących z trojanami bankowymi, takimi jak ZeuS. Istnieje też spore prawdopodobieństwo, że dzieje się coś niedobrego, jeśli odwiedzona przez nas strona automatycznie inicjuje proces pobierania.

W każdym z omówionych przypadków najlepszym wyjściem będzie rezygnacja z odwiedzin na podejrzanej witrynie. O wykrytym naruszeniu możemy powiadomić prawowitego właściciela strony.


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031