Penipuan phishing PayPal yang tidak biasa. Namun, para ahli telah melihat halaman phishing PayPal yang di-host di situs Web aman dari portal polisi pemerintah Malaysia.
Dengan mengorbankan sebuah situs web yang menggunakan sertifikat SSL, penjahat cyber dapat membuat skema mereka lebih sah-cari karena banyak pengguna PayPal menyadari fakta bahwa mereka tidak harus masukkan identitasnya di website yang tidak dilindungi oleh sertifikat SSL.
Menurut Netcraft, sertifikat digital untuk portal ini polisi Malaysia tertentu dikeluarkan oleh Symantec GeoTrust kembali pada tahun 2011 dan itu berlaku untuk beberapa bulan lagi.
"Jika Symantec ingin mencabut sertifikat untuk membuat situs yang dapat diakses melalui HTTPS bisa melakukannya dengan memperbarui Daftar Pencabutan Sertifikat atau dengan memberikan tanggapan OCSP on-demand mencatat pencabutan tersebut," kata Netcraft Raz Popescu.
"Seperti baru-baru ini diperiksa oleh Netcraft, pengobatan saat pencabutan di banyak browser utama daun beberapa ruang untuk perbaikan: sertifikat ini tidak mengandung URL OCSP sehingga tidak dapat ditarik kembali di Firefox. Bahkan jika CA ingin, itu tidak bisa langsung mencegah penggunaan lebih lanjut sertifikat di Firefox. Pengguna Safari yang tersisa terlindungi secara default sebagai pemeriksaan pencabutan harus secara eksplisit diaktifkan. "
Jeff Hudson, CEO perusahaan kunci dan sertifikat penyedia solusi manajemen Venafi, telah menjadi pendukung kuat untuk keamanan sertifikat digital untuk beberapa waktu.
"Ini serangan baru terhadap PayPal menunjukkan, sekali lagi, bahwa kompromi berbasis kepercayaan memanfaatkan sertifikat digital telah muncul sebagai kendaraan serangan pilihan untuk kejahatan dunia maya di seluruh dunia," kata Hudson Softpedia.
"Sementara Netcraft telah memposisikan serangan ini sebagai 'dipertahankan' dalam beberapa kasus, ada kemungkinan bahwa sistem terganggu, situs, browser dan penerbit bisa dilindungi dengan keamanan sederhana dan kontrol manajemen untuk mengatasi dan cepat memulihkan pelanggaran tersebut," ia menambahkan.
"Organisasi meninggalkan pintu terbuka untuk penyerang, dan meskipun mereka telah menambahkan lapisan baru yang signifikan keamanan untuk jaringan mereka, tidak ada alamat masalah visibilitas dan kontrol dengan kepercayaan instrumen penyerang mengeksploitasi."
Hudson menyoroti fakta bahwa perusahaan-perusahaan global biasanya memiliki puluhan ribu kunci dan sertifikat dan mayoritas tidak memiliki persediaan yang akurat dari aset trust kritis. Mereka tidak tahu di mana mereka dikerahkan, yang menggunakan mereka, dan mereka tidak memiliki kontrol di tempat untuk mengamankan mereka.
"Perusahaan perlu untuk memulai dengan mendapatkan pegangan pada semua sertifikat dan kunci dikerahkan, menentukan anomali dalam lingkungan berdasarkan kebijakan mapan lalu cepat-cepat mencabut dan mengganti tersangka atau keluar dari kebijakan," kata ahli.
"Masih terlalu dini untuk memperkirakan berapa banyak insiden ini saat akan biaya PayPal, situs dikompromikan, browser atau korban phishing, bagaimanapun, sebuah studi Ponemon terbaru mengungkapkan bahwa serangan pada kepercayaan memanfaatkan sertifikat dan kunci kriptografi akan biaya organisasi global hampir setengah miliar dolar selama dua tahun ke depan. "
Sources : Softpedia
0komentar:
Post a Comment