Viime viikolla tuli huijaus osoitteella Nordeatarkistaa.com, jossa oli aidon näköinen sivusto.
Aidon näköinen huijaussivusto. |
Sivu on SSL-suojattu, joten osoitteen edessä näkyy lukon kuva. Aiemmin se kertoi, että osoite on tarkistettu ja oikeaksi havaittu, mutta nykyään SSL-varmenteita (sellaisia, joiden juurivarmenne on selaimessa sisäänrakennettuna) saa helposti ja mille nimelle tahansa (varsinkin Let's encryptiltä). Lukko ei siis enää kerro mitään turvallisuudesta.
Selain pahentaa asioita väittämällä, että sivu on turvallinen. Varmenteen tiedot katsomalla käyttäjä voisi nähdä, ettei osoite varsinaisesti tarkoita mitään, mutta se edellyttää lukon kuvan napsauttamista. Helppokäyttöisyyden nimissä varmenteen tarkistamista on suorastaan vaikeutettu (joskin nykyisissä selaimissa on taas tultu vähän parempaan suuntaan verrattuna tähän vanhaan kirjoitukseeni).
Let's Encrypt - tietenkin. |
Aidolla Nordean sivulla varmenne näyttää tältä:
Aito Nordean varmenne. |
Varmenteen kentistä näkee, kenelle varmenne on myönnetty (kohde): suomalainen, Helsingissä sijaitseva Nordea -niminen yritys.
Parempia varmenteita, joissa hakijan identiteetti oli varmistettu, kutsuttiin aikoinaan Extended Validation -varmenteiksi. Tällaisella sivulla selaimen osoiterivi muuttui vihreäksi. EV-varmenteet olivat kalliimpia hankkia, mutta luottamukseen perustuvalla toimialalla ne olivat välttämätön investointi.
En ymmärrä, miksi selaimet luopuivat EV-varmenteiden erottelusta, mutta nykyinen käytäntö tuntuu hullulta. Kohtelemalla kaikkia varmenteita samanarvoisesti selaimet suorastaan auttavat huijareita.
Vaikka varmenteessa ei olisikaan EV-merkintää, selain voisi ainakin varoittaa, ettei tässä varmenteessa ole mitään tietoja kohteesta. Silloin pankkien huijaus- ja kalastelusivut olisi helppo erottaa aidoista sivuista.
Vähintäänkin pitäisi kehittää selaimeen plug-in, joka tarkistaisi varmenteen myöntäjän automaattisesti ja ilmoittaisi, jos se on Let's encrypt.
Ja juuri osui silmään Ylen uutinen huijaavasta polkupyöräkaupasta. Varmenteen myöntäjä tässäkin tapauksessa Let's encrypt.