Τα πιστοποιητικά ασφαλείας έχουν ως στόχο να εμπνέουν εμπιστοσύνη στους χρήστες. Ένα παραδοσιακό λογισμικό προστασίας από ιούς συνήθως βασίζεται σε βάσεις δεδομένων που χρησιμοποιούν πιστοποιητικά, για να ανιχνεύσει εάν το λογισμικό που έχει ληφθεί ή εκτελεστεί σε ένα μηχάνημα, περιέχει κάποιο κακόβουλο στοιχείο. Ωστόσο, αν υπογραφεί από νόμιμη αρχή, ένα κακόβουλο λογισμικό θα μπορούσε να περάσει απαρατήρητο. Σε αυτό είναι που βασίζονται και ορισμένοι επιτιθέμενοι.
Η ίδια διαδικασία ισχύει και για ιστότοπους. Τα πιστοποιητικά ασφαλείας παρουσιάζουν τα διαπιστευτήρια ενός ιστότοπου, συμπεριλαμβανομένης της ικανότητάς του να ασφαλίζει και να κρυπτογραφεί τα δεδομένα που μεταδίδονται μεταξύ ενός πελάτη και του προγράμματος περιήγησης, και αυτά τα πιστοποιητικά εκδίδονται από μια Αρχή Πιστοποίησης (CA). Τα πιστοποιητικά έρχονται επίσης με ημερομηνία λήξης και πρέπει να ανανεώνονται σχετικά συχνά.
Οι κυβερνοεγκληματίες από την άλλη, μπορούν να χρησιμοποιήσουν αυτά τα πιστοποιητικά για την εξάπλωση κακόβουλου λογισμικού και την εξαπάτηση των θυμάτων ώστε να επισκεφτούν κακόβουλα domain που φαίνονται αξιόπιστα.
Τα πιστοποιητικά μπορούν να δώσουν στους κακόβουλου παράγοντες τη δυνατότητα να μεταμφιεστούν ως αξιόπιστες πηγές. Έχουν υπάρξει στο παρελθόν περιπτώσεις κλοπής πιστοποιητικών, για λόγους όπως η πώληση εργαλείων παρακολούθησης ή άμεσης κατασκοπείας των χρηστών και τώρα οι ερευνητές έχουν διαπιστώσει ότι οι επιτιθέμενοι προσποιούνται ότι είναι νόμιμα στελέχη επιχειρήσεων για να αγοράσουν πιστοποιητικά στο διαδίκτυο.
Σύμφωνα με τον Tomislav Pericin, συνιδρυτή της ReversingLabs, η κλοπή πιστοποιητικών και ταυτοτήτων μπορεί μερικές φορές να είναι “αλληλένδετη” στο εμπόριο των παράνομων πιστοποιητικών ασφαλείας.
Σε μια πρόσφατα ανακαλυφθείσα περίπτωση που παρακολουθείται από την εταιρία ασφάλειας, ένας κακόβουλος παράγοντας, παριστάνει ότι είναι στέλεχος επιχειρήσεων, προκειμένου να αγοράσει και αργότερα να πουλήσει πιστοποιητικά σε forum ανάπτυξης κακόβουλου λογισμικού.
Ο επιτιθέμενος κάνει πρώτα έρευνα για να επιλέξει κατάλληλους, βιώσιμους στόχους. Μόλις βρει το στόχο του, καταχωρεί domain που συνδέονται με το όνομα μίας νόμιμης επιχείρησης. Έπειτα ο επιτιθέμενος ζητά ένα πιστοποιητικό υπογραφής κώδικα, το οποίο απαιτεί λιγότερη εξακρίβωση – και συνεπώς όλες οι πληροφορίες που απαιτούνται για την προβολή της αγοράς υπάρχουν ήδη.
Προκειμένου να επικυρωθεί η κλεμμένη ταυτότητά τους, η νομική ύπαρξη της επιχείρησης ελέγχεται βάσει κυβερνητικών ή αξιόπιστων βάσεων δεδομένων τρίτων, το domain του ιστοτόπου ελέγχεται μέσω ηλεκτρονικού ταχυδρομείου και στη συνέχεια για την επικύρωση των επιχειρήσεων, συνήθως εκτελείται μια απλή, αυτοματοποιημένη διαδικασία επανάκλησης.
Ο επιτιθέμενος έχει πλέον μιμηθεί επιτυχώς μια επιχείρηση και έχει στην κατοχή του ένα πιστοποιητικό υπογραφής κώδικα που είναι διαθέσιμο προς πώληση.
Η ReversingLabs πιστεύει ότι ο επιτιθέμενος ή η ομάδα hacking πίσω από αυτή την απάτη, έχει χρησιμοποιήσει την ίδια τακτική σε τουλάχιστον δώδεκα εταιρείες.
