Sebuah penelitian yang baru dipublikasikanmengungkapkan bahwa menaruh kepercayaan pada Extended Validation (EV) Sertifikat SSL tidak akan melindungi kamu dari situs phishing dan penipuan online.
Sertifikat SSL telah menjadi hal yang biasa di Internet. Menurut Let’s Encrypt, 65% halaman web yang dimuat oleh Firefox pada bulan November menggunakan HTTPS, dibandingkan dengan 45% pada akhir 2016.
Siapa pun bisa mendapatkan sertifikat SSL gratis atau berbayar untuk mengamankan situs web melalui HTTPS. Dan ebuah laporan yang dikeluarkan oleh Phish Labs menunjukkan bahwa satu dari empat situs phishing saat ini dimuat melalui HTTPS.
Sertifikat Extended Validation (EV) Dikerahkan Pada Tahun 2007 Untuk Melawan Phishing
Orang-orang di balik industri SSL tahu bahwa pelecehan ini akhirnya akan terjadi, walaupun mereka tidak tahu kapan.
Inilah sebabnya mengapa mereka menghasilkan konsep “Extended Validation Certificates” pada tahun 2007, yang merupakan sertifikat SSL khusus yang hanya diberikan kepada perusahaan yang menjalani proses verifikasi yang diperluas – yang standar dalam Pedoman SSL Extended Validation (EV).
Di sisi lain, perusahaan yang mendapatkan sertifikat EV mendapatkan dorongan reputasi. Dalam beberapa tahun terakhir, browser telah mulai menampilkan nama perusahaan di dalam bilah alamat, sebagai cara untuk memperkuat dan menjamin identitas situs kepada pengguna.
Sertifikat EV Disalahgunakan Untuk Tujuan Phishing
Tapi hal-hal telah berubah drastis dari tahun 2007 sampai 2017.
Kembali pada bulan September 2017, seorang peneliti keamanan bernama James Burton menciptakan sebuah perusahaan palsu bernama “Verified Identity.”
Melalui penelitiannya, Burton menyoroti sebuah cacat dalam model kepercayaan browser EV yang dapat disalahgunakan oleh penipu. Dia berteori bahwa penipu bisa menggunakan identitas curian untuk menciptakan perusahaan palsu dengan nama yang mengiklankan keselamatan pribadi.
Penipu kemudian bisa mendapatkan sertifikat EV untuk situs palsu dan situs phishing host mereka di situs web yang menampilkan kunci hijau HTTPS klasik dan kata-kata aman yang mendorong pengguna untuk percaya bahwa mereka berada di situs yang sah.
Penelitian Baru Ini Menunjukkan Cara Yang Lebih Baik Untuk Menyalahgunakan Sertifikat EV
Kemarin, seorang peneliti keamanan lain bernama Ian Carroll membawa penelitian Burton ke tingkat yang baru saat dia menyadari tidak ada nama tabrakan untuk proses penerbitan EV.
Carroll mengatakan bahwa seorang penipu bisa menggabungkan perusahaan baru dengan nama yang identik dengan bisnis yang sah.
Untuk membuktikan maksudnya, Carroll memasukkan sebuah bisnis baru yang disebut “Stripe, Inc” di negara bagian Kentucky, sebuah tiruan yang disengaja dan jelas setelah Stripe, Inc (prosesor pembayaran) yang sebenarnya, yang tergabung dalam Delaware.
Sama seperti Burton, Carroll tidak mengalami kesulitan untuk mendapatkan sertifikat SSL EV. Karena nama perusahaan yang sama, browser juga akan menarik dan menampilkan nama perusahaan yang palsu di dalam bilah URL, membuat situs palsu terlihat seperti domain Stripe yang sah.
Carroll menunjukkan bahwa beberapa browser akan menampilkan kode negara perusahaan dan rincian EV lainnya seperti alamat negara bagian, kota, atau alamat jalan.
“Tak satu pun dari [rincian] ini berguna bagi pengguna biasa, dan mereka mungkin hanya secara membabi buta mempercayai indikator yang berwarna hijau terang,” kata Carroll.
Selanjutnya, situasi menjadi semakin buruk bagi beberapa browser. Misalnya, Safari, di kedua desktop dan ponsel, akan menyembunyikan URL seluruhnya, hanya menunjukkan nama perusahaan yang diambil dari sertifikat EV. Pengguna Apple tidak memiliki kesempatan untuk mendeteksi situs phishing yang tersembunyi berdasarkan nama perusahaan yang dipilih secara hati-hati.
Selain itu, versi Chrome terbaru tidak mengizinkan pengguna melihat detail sertifikat kecuali mereka membuka lokasi tertentu di bagian Alat Pengembang peramban.
Sementara insinyur Google telah berjanji untuk mengembalikan penampil sertifikat lama, ini masih tidak masalah, karena sebagian besar pengguna hampir tidak mengetahui bahwa sertifikat EV ada dan bagaimana kinerjanya.
Sertifikat EV Pasti Rusak
Penelitian terbaru Burton dan Carroll menunjukkan bahwa penipu yang ditentukan memiliki trik yang solid di lengan baju mereka ketika harus meramu halaman phishing yang meyakinkan.
Selanjutnya, seluruh biaya untuk memperoleh EV adalah sekitar $177, dengan $100 untuk menggabungkan perusahaan AS dan $77 untuk sertifikat EV. Seluruh proses memakan waktu dua hari dan tidak serumit yang dipikirkan kebanyakan orang.
Meskipun tidak semua penipu akan repot-repot mendirikan perusahaan palsu hanya untuk kredensial palsu Google, pelaku yang menargetkan keuangan termotivasi secara finansial yang berani menghasilkan jutaan dolar dengan cara menargetkan bank atau target bernilai tinggi lainnya akan berusaha ekstra untuk memastikan halaman phishing mereka terlihat meyakinkan.
