Certyfikat EV – prosty sposób na ograniczenie phishingu

Według raportu WebRoot codziennie na świecie powstaje 46 tysięcy stron służących do ataków phishingowych, które podszywają się pod witryny różnego rodzaju firm i instytucji. Aby ułatwić ochronę przed tego typu pułapkami w sieci, organizacje mogą zacząć stosować certyfikaty Extended Validation (EV). Obecność takiego certyfikatu daje 99.987 proc. pewność, że witryna jest bezpieczna – wynika z niedawnych badań Georgia Institute of Technology Cyber Forensics Innovation (CyFI).

Certyfikat EV SSL tym różni się od certyfikatu SSL podstawowego (DV – Domain Validation), że ten drugi może być wydany dla każdej domeny i praktycznie bez żadnej weryfikacji wnioskodawcy. Nieco lepszym zabezpieczeniem są certyfikaty OV (Organization Validation), które są wydawane po zweryfikowaniu tożsamości organizacji lub osoby starającej się o certyfikat. Najbardziej rygorystyczny proces weryfikacji wnioskodawców ma miejsce podczas wydawania certyfikatów EV i dlatego właśnie są one praktycznie w ogóle nie wykorzystywane przez cyberprzestępców.

„Badacze z CyFI przeanalizowali 2.6 milionów stron z certyfikatem EV oraz zestawili je z danymi o atakach phishingowych cofając się aż do 2010 roku. Wyniki potwierdziły skuteczność mechanizmów weryfikacyjnych stosowanych dla tego typu certyfikatów i pokazały, że jest to obecnie najlepszy sposób, dzięki któremu organizacje mogą chronić swoich klientów przed próbami oszustw. Tym bardziej, że cyberprzestępcy coraz częściej starają się uwiarygadniać swoje witryny przy pomocy mniej bezpiecznych certyfikatów SSL, licząc na ignorancję ludzi w tym obszarze” - mówi Elżbieta Kornaś, Brand Manager w serwisie Domeny.pl.

Jak tłumaczy przedstawicielka Domeny.pl, obecnie już ponad połowa witryn wykorzystywanych do phishingu stosuje na nich certyfikaty – najczęściej DV. Oszuści wykorzystują podobny adres do tego, który jest celem ataku, a także tworzą niemal identyczną witrynę. Następnie rozsyłają mailing z adresem, który prowadzi na wcześniej przygotowaną phishingową stronę. W ten sposób mogą uzyskać dostęp do konta i wielu innych wrażliwych danych.

„Certyfikaty SSL wykonują dwie główne funkcje – szyfrują dane i sprawdzają tożsamość wszystkich odwiedzających witrynę online. Ich zastosowanie niesie ze sobą szereg korzyści, jak poprawa wydajności witryn, możliwość stosowania geolokalizacji na stronie, poprawa jej pozycji w wynikach wyszukiwania Google – nawet o 5 proc. w porównaniu do witryn bez certyfikatu. Dlatego stosowanie nawet tych najprostszych certyfikatów ma sens, jednak jeśli firma poważnie myśli o zabezpieczeniu swoich użytkowników, to powinna sięgać po certyfikaty EV i edukować swoich klientów, jak rozpoznać zastosowanie takiego mechanizmu” – tłumaczy Elżbieta Kornaś.

Na witrynach wykorzystujących certyfikat EV nazwa firmy pojawia się obok pola adresowego przeglądarki w towarzystwie charakterystycznej kłódki. Często czcionka, którą napisana jest nazwa firmy, albo pole, na którym znajduje się ta nazwa, jest koloru zielonego.

Więcej informacji na temat certyfikatów SSL – ich historii, rodzajów, sposobie działania oraz korzyściach ze stosowania – można znaleźć w przewodniku „Certyfikaty SSL dla początkujących”. Został on przygotowany przez serwisy Domeny.pl oraz CerytifikatySSl.pl. Publikacja jest dostępna pod tym adresem: https://certyfikatyssl.pl/guide.html.

Dodatkowe informacje

Domeny.pl to firma specjalizująca się w rejestracji domen z całego świata (ponad 1000 rozszerzeń). Drugi obszar specjalizacji firmy to certyfikaty SSL, których firma ma ponad 100 do wyboru (od 10 wystawców). Ofertę firmy wyróżniają konkurencyjne ceny, a także wysoki standard usług. Domeny.pl jest cześć grupy H88, jednej z największych i najszybciej rozwijających się firm webhostingowych w Polsce. Głównym celem grupy H88 jest oferowanie produktów i usług, które pomagają osiągnąć sukces w internecie. H88 realizuje ten cel przez swoje wyspecjalizowane marki, do których należą - oprócz Domeny.pl - także m.in. Hekko.pl, Linuxpl.com czy Kei.pl. Z usług H88 korzysta około 230 tys. klientów.