lauantai 10. huhtikuuta 2021

Miksi selaimet sallivat varmenteilla hämäämisen?

Viime viikolla tuli huijaus osoitteella Nordeatarkistaa.com, jossa oli aidon näköinen sivusto. 

Aidon näköinen huijaussivusto.

Sivu on SSL-suojattu, joten osoitteen edessä näkyy lukon kuva. Aiemmin se kertoi, että osoite on tarkistettu ja oikeaksi havaittu, mutta nykyään SSL-varmenteita (sellaisia, joiden juurivarmenne on selaimessa sisäänrakennettuna) saa helposti ja mille nimelle tahansa (varsinkin Let's encryptiltä). Lukko ei siis enää kerro mitään turvallisuudesta.

Selain pahentaa asioita väittämällä, että sivu on turvallinen. Varmenteen tiedot katsomalla käyttäjä voisi nähdä, ettei osoite varsinaisesti tarkoita mitään, mutta se edellyttää lukon kuvan napsauttamista. Helppokäyttöisyyden nimissä varmenteen tarkistamista on suorastaan vaikeutettu (joskin nykyisissä selaimissa on taas tultu vähän parempaan suuntaan verrattuna tähän vanhaan kirjoitukseeni).

Let's Encrypt - tietenkin.

Aidolla Nordean sivulla varmenne näyttää tältä:

Aito Nordean varmenne.

Varmenteen kentistä näkee, kenelle varmenne on myönnetty (kohde): suomalainen, Helsingissä sijaitseva Nordea -niminen yritys.

Parempia varmenteita, joissa hakijan identiteetti oli varmistettu, kutsuttiin aikoinaan Extended Validation -varmenteiksi. Tällaisella sivulla selaimen osoiterivi muuttui vihreäksi. EV-varmenteet olivat kalliimpia hankkia, mutta luottamukseen perustuvalla toimialalla ne olivat välttämätön investointi.

En ymmärrä, miksi selaimet luopuivat EV-varmenteiden erottelusta, mutta nykyinen käytäntö tuntuu hullulta. Kohtelemalla kaikkia varmenteita samanarvoisesti selaimet suorastaan auttavat huijareita. 

Vaikka varmenteessa ei olisikaan EV-merkintää, selain voisi ainakin varoittaa, ettei tässä varmenteessa ole mitään tietoja kohteesta. Silloin pankkien huijaus- ja kalastelusivut olisi helppo erottaa aidoista sivuista.

Vähintäänkin pitäisi kehittää selaimeen plug-in, joka tarkistaisi varmenteen myöntäjän automaattisesti ja ilmoittaisi, jos se on Let's encrypt. 

Ja juuri osui silmään Ylen uutinen huijaavasta polkupyöräkaupasta. Varmenteen myöntäjä tässäkin tapauksessa Let's encrypt.

5 kommenttia:

  1. Yhdessä asiassa nordea kuitenkin on tehnyt jo ongelman ratkaisevaa asiaa.

    Nordeahan on jo muutaman vuoden "kannustanut" ihmisiä luopumaan verkkopankista ja käyttämään ensisijaisesti ja mieluiten ainoana pankkiyhteytenä mobiilipankkia. Eli siis kännykkäappsi-verkkopankkia.

    Kannustushan tapahtuu jopa rahallisesti palvelumaksuja pienentämällä tai nollaamalla ne kokonaan (jos on esimerkiksi lainoja nordeassa). Ehtona on, että käyttää ensisijaisesti mobiilipankkia.

    Kirjoittamasi ongelma siis on todellinen. Mutta ainakin siihen on myös pikkasen yritetty ratkaisua. Ei käytä nettiselainta ollenkaan.

    Itsekin suosittelen kaikille ja kaikkien pankkien asiakkaita käyttämään ensisijaisesti kännykkäsoftia. Ainakin tilisiirtojen pitäisi näillä onnistua ihan siinä missä laskunmaksujenkin.

    On tietysti totta, ettei ihan joka asiaa voi mobiilissa tehdä mutta se rahansiirto ja tunnistaminen kyllä onnistuu siten, ettei ole mitään syytä käyttää selain-verkkopankkia näihin toiminteihin.

    Puolituinen ratkaisu ongelmaan. Myöskin asia, jonka voi opettaa sille "vanhalle äidille". Käytä e-laskua ja kännykällä rahasiirtoja.

    VastaaPoista
    Vastaukset
    1. Nordean mobiilipankki haluaa foton passikuvastani, mutta se on kuulemma liian huonolaatuinen? ;-) Kysyy myös meiliäni. Mutta jos eivät tiedä meiliäni, voi Nordean nimissä lähetetyt meilit heivata roskiin suoraan. Kätevää.

      Poista
  2. Luulen, että monelta menisi tuo silti ohi. Onhan aina muistutettu siitäkin, että kannattaa tarkistaa sivun osoite ennen kun antaa mitään tietoja. Kaikissa huijauksissa osoitteen tarkistaminen olisi paljastanut huijauksen, koska osoitteen alkuosa on vain tehty muistuttamaan pankin tai postin osoitetta.

    VastaaPoista
  3. Petteri olisiko sinusta parempi käyttää www:tä salaamattomana (http) kuin salattuna (https eli tarvii sertinfikaatin) Let'sEncryptin sertillä?

    VastaaPoista
  4. Ei, mutta selaimen pitäisi erotella selvästi, milloin varmenne on tarkoitettu pelkkään salaukseen ja milloin se takaa myös sivuston aitouden.

    VastaaPoista