Mityczna zielona kłódka, która daje bezpieczeństwo. Mamy rok 2022, a pseudo eksperci wciąż powtarzają te bzdury.
Wydawałoby się, że w 2022 roku poziom wiedzy o podstawach cyberbezpieczeństwa jest na zadowalającym poziomie. Tak przynajmniej być powinno, zważając na to, że ataki ransomware, czy ostatnio spoofing caller ID, żeby wymienić pierwsze z brzegu, są na tyle powszechne (i dotyczą osób publicznych), że mówi się o nich w mediach głównego nurtu. Wydawałoby się również, że do lamusa odeszły także najbardziej popularne, jeszcze kilka lat temu, mity na temat cyberbezpieczeństwa, między innymi ten, że kłódka przy adresie strony oznacza bezpieczeństwo dla użytkownika. Otóż myliliśmy się.
Oh dear @niebezpiecznik @Zaufana3Strona sorry za jakość pic.twitter.com/6pmOoYOoAr
— Mariusz Zaborski (@oshogbovx) February 1, 2022
I oto, cały na biało, wchodzi TVN, ze swoim porannym blokiem tzw. telewizji śniadaniowej. Niestety nie znamy szerszego kontekstu i tego, jaki był główny temat programu do którego zaproszono ekspertkę, która odpowiadała na pytania widzów, ale wiemy jedno. Dzień Dobry TVN powinien zmienić ekspertkę.
Tak, zielona, czy jakakolwiek, bo to zależy od używanej przeglądarki, kłódka przy adresie strony absolutnie nie oznacza, że strona na której się znajdujemy, czy dane, które na niej wpisujemy są bezpieczne. Oznacza jedynie tyle, że połączenie pomiędzy nami, jako użytkownikiem, a serwerem jest szyfrowane. I nic poza tym. Oszuści wiedzą o powtarzających się błędach użytkowników, ich przyzwyczajeniach i (nierzadko) błędnej wierze w jakieś rozwiązania, dlatego też, w ogromnej większości ataków phishingowych, stosują obecnie na swoich fałszywych stronach certyfikaty ssl.
Czym jest certyfikat SSL i jakie są jego rodzaje
Zacznijmy od tego czym jest certyfikat SSL. Posiadanie certyfikatu SSL na stronie internetowej oznacza jedynie (jak wyżej), że dane przesyłane z twojego urządzenia do serwera i w drugą stronę są szyfrowane – czyli, nie można ich podsłuchać. Certyfikat SSL gwarantuje także konsystencję danych oraz potwierdzają, że połączyliśmy się z tym, kim chcieliśmy. I to tutaj pojawia się problem, bo certyfikaty SSL występują w trzech rodzajach, które rzadko kto rozróżnia i ma tę świadomość.
Domain validation – dostawca certyfikatu sprawdza jedynie, czy domena na której znajduje się certyfikat jest własnością tego, kto certyfikat instaluje. Nic poza tym. Taki certyfikat można otrzymać za darmo i oprócz szyfrowanego połączenia z serwerem docelowym i odwrotnie nie gwarantuje niczego więcej. To na takie certyfikaty i mityczne zielone kłódki nabierają się najczęściej ofiary wszelkich phishingów i scamów. I nie wierzcie ekspertce Dzień Dobry TVN. Taka kłódka nie zapewnia bezpieczeństwa waszych danych w każdej sytuacji.
Extended validation – to certyfikat rozszerzony. Zamiast zielonej kłódki przy adresie strony widnieje zielony pasek z nazwą firmy do której należy certyfikat.
Organization validated – to certyfikat wymagający od właściciela strony najwięcej zachodu, a tym samym uznawany jest za najbardziej bezpieczny. W tym przypadku musisz dowieść, że nie tylko jesteś właścicielem danej domeny, ale także właścicielem firmy na którą się powołujesz. Jeśli więc certyfikat wystawiony jest na Bank Polska Kasa Opieki S.A. to możesz mieć pewność, że łączysz się ze stroną należącą do banku PeKaO.
Wszystkie te rzeczy możesz łatwo sprawdzić na pasku adresu swojej przeglądarki. Bądź więc czujny i nie daj się okraść. Zapamiętaj podstawowe zasady bezpieczeństwa w sieci i przekaż je znajomym.
{loadmoduleid 1123}
Zobacz więcej