¿Puede un sitio web de suplantación de identidad utilizar el certificado original (HTTPS, TLS)? [duplicar]

20

Si uno tiene un sitio web de suplantación de identidad (phishing) que utiliza el certificado original que se obtuvo al acceder a ese sitio, ¿puede un usuario engañar a los usuarios para que crean que están accediendo a sitios web legítimos?

Si no, ¿cómo se atrapará?

    
pregunta Kevin JJ 28.11.2016 - 04:23
fuente

5 respuestas

31
  

Si uno tiene un sitio web de suplantación de identidad (phishing) que utiliza el certificado original que se obtuvo al acceder a ese sitio web,

No, no puede, porque no tiene acceso a la clave privada del sitio web original. Si pudiera, toda la PKI no tendría ningún sentido.

  

¿Puede un ataque engañar a los usuarios para que crean que están accediendo a sitios web legítimos?

Sí, pero utilizando medios distintos al certificado original.

  

Si no, ¿cómo se atrapará?

El sitio web de phishing no se "capturará". El usuario no verá un certificado correcto en el navegador del cliente.

    
respondido por el techraf 28.11.2016 - 04:29
fuente
11
  

Si uno tiene un sitio web de suplantación de identidad (phishing) que utiliza el certificado original que se obtuvo al acceder a ese sitio, ¿puede un usuario engañar a los usuarios para que crean que están accediendo a sitios web legítimos?

Sí. Siempre y cuando obtengan la clave privada también.

Para falsificar un certificado válido (y obtener un candado SSL verde) solo existen dos formas, lo sé:

  1. Hackee el sitio web, obtenga la clave privada y el certificado y utilícelo (con suerte, la página tiene buena seguridad, por lo que esto no sucede)
  2. Encuentre una autoridad de certificación SSL defectuosa y obtenga un certificado, ya sea al encontrar un error oa través de la ingeniería social no importa, al final tiene un certificado válido (firmado por CA). Esto NO es lo mismo, pero sigue siendo válido
  

Si no, ¿cómo se atrapará?

Como ya dijo Techraf, si el certificado no es de confianza, por ejemplo. Debido a que es autofirmado o la CA fue expulsada de su llavero, se produce un error como este:

  

¿No necesitas el mismo nombre de dominio para que # 1 funcione? ¿No hará LetsEncrypt lo mismo que el # 2 pero sin tratar de ser sigiloso o ilegal?

Necesitas llevar a la víctima de alguna manera a tu propio servidor, sí. Esto puede estar abajo por poseer el DNS. Ebay fue robada hace unos años.

Pero tienes razón. Usar el certificado solo tiene sentido si se usa el dominio original. Phising utiliza normalmente dominios diferentes, de los cuales puede obtener un certificado oficial y legalmente

    
respondido por el Fabian Blechschmidt 28.11.2016 - 09:08
fuente
1

De hecho, esto no es imposible. Además de la clave privada robada, hay otro ataque.

Si en cualquier lugar del sitio https hay un ataque XSS que permite la inyección de javascript (incluso si la página es normalmente inaccesible) alguien puede colocar un enlace en el correo electrónico que explota el XSS para sobrescribir la página con un formulario que envía submit = to un sitio https a elección del atacante.

O tal vez alguien secuestró DNS solo y quiere ver quién es lo suficientemente tonto como para hacer clic en los enlaces de phishing antes de comenzar un ataque de phishing con lanza.

    
respondido por el Joshua 29.11.2016 - 05:29
fuente
-2

Hay muchas cosas que podría significar con "el sitio web de phishing que usa el certificado original". Si te refieres literalmente al mismo certificado exacto, en la mayoría de los casos no tendrán acceso a eso. (Aunque eso no es imposible, es menos probable).

Si alguien en algún momento puede emitir certificados de una autoridad de certificados de confianza, es mucho más fácil simplemente emitir un nuevo certificado para el dominio de phishing.

Las formas más probables de atacarte en este caso serían las personas que controlan tu ISP o las redes inalámbricas a las que te conectas. Se sabe que las grandes corporaciones hacen esto al tráfico de Internet de su compañía para permitirles inspeccionar el tráfico cifrado.

El punto aquí es que realmente, sí, es posible falsificar certificados en algunos niveles, no es muy probable que sea algo que verás.

    
respondido por el Ori 28.11.2016 - 07:50
fuente
-2

Un sitio web falsificado podría usar una cadena de certificados falsos o un ancla de confianza falsificada para obtener el icono HTTPS del navegador que muestra "el candado cerrado". El atacante necesita falsificar solo uno de los posibles ancors confiables para la situación. También depende de la configuración del navegador atacado y su nivel de confianza con los ancors de confianza.

comprobar aquí para la ancla de confianza definición

comprobar aquí para cadenas de confianza definición

Verifique la autoridad de certificación

    
respondido por el user131787 28.11.2016 - 08:18
fuente

Lea otras preguntas en las etiquetas