Si uno tiene un sitio web de suplantación de identidad (phishing) que utiliza el certificado original que se obtuvo al acceder a ese sitio, ¿puede un usuario engañar a los usuarios para que crean que están accediendo a sitios web legítimos?
Si no, ¿cómo se atrapará?
Si uno tiene un sitio web de suplantación de identidad (phishing) que utiliza el certificado original que se obtuvo al acceder a ese sitio web,
No, no puede, porque no tiene acceso a la clave privada del sitio web original. Si pudiera, toda la PKI no tendría ningún sentido.
¿Puede un ataque engañar a los usuarios para que crean que están accediendo a sitios web legítimos?
Sí, pero utilizando medios distintos al certificado original.
Si no, ¿cómo se atrapará?
El sitio web de phishing no se "capturará". El usuario no verá un certificado correcto en el navegador del cliente.
Si uno tiene un sitio web de suplantación de identidad (phishing) que utiliza el certificado original que se obtuvo al acceder a ese sitio, ¿puede un usuario engañar a los usuarios para que crean que están accediendo a sitios web legítimos?
Sí. Siempre y cuando obtengan la clave privada también.
Para falsificar un certificado válido (y obtener un candado SSL verde) solo existen dos formas, lo sé:
Si no, ¿cómo se atrapará?
Como ya dijo Techraf, si el certificado no es de confianza, por ejemplo. Debido a que es autofirmado o la CA fue expulsada de su llavero, se produce un error como este:
¿No necesitas el mismo nombre de dominio para que # 1 funcione? ¿No hará LetsEncrypt lo mismo que el # 2 pero sin tratar de ser sigiloso o ilegal?
Necesitas llevar a la víctima de alguna manera a tu propio servidor, sí. Esto puede estar abajo por poseer el DNS. Ebay fue robada hace unos años.
Pero tienes razón. Usar el certificado solo tiene sentido si se usa el dominio original. Phising utiliza normalmente dominios diferentes, de los cuales puede obtener un certificado oficial y legalmente
De hecho, esto no es imposible. Además de la clave privada robada, hay otro ataque.
Si en cualquier lugar del sitio https hay un ataque XSS que permite la inyección de javascript (incluso si la página es normalmente inaccesible) alguien puede colocar un enlace en el correo electrónico que explota el XSS para sobrescribir la página con un formulario que envía submit = to un sitio https a elección del atacante.
O tal vez alguien secuestró DNS solo y quiere ver quién es lo suficientemente tonto como para hacer clic en los enlaces de phishing antes de comenzar un ataque de phishing con lanza.
Hay muchas cosas que podría significar con "el sitio web de phishing que usa el certificado original". Si te refieres literalmente al mismo certificado exacto, en la mayoría de los casos no tendrán acceso a eso. (Aunque eso no es imposible, es menos probable).
Si alguien en algún momento puede emitir certificados de una autoridad de certificados de confianza, es mucho más fácil simplemente emitir un nuevo certificado para el dominio de phishing.
Las formas más probables de atacarte en este caso serían las personas que controlan tu ISP o las redes inalámbricas a las que te conectas. Se sabe que las grandes corporaciones hacen esto al tráfico de Internet de su compañía para permitirles inspeccionar el tráfico cifrado.
El punto aquí es que realmente, sí, es posible falsificar certificados en algunos niveles, no es muy probable que sea algo que verás.
Un sitio web falsificado podría usar una cadena de certificados falsos o un ancla de confianza falsificada para obtener el icono HTTPS del navegador que muestra "el candado cerrado". El atacante necesita falsificar solo uno de los posibles ancors confiables para la situación. También depende de la configuración del navegador atacado y su nivel de confianza con los ancors de confianza.
comprobar aquí para la ancla de confianza definición
comprobar aquí para cadenas de confianza definición
Verifique la autoridad de certificación