2015年6月,Trustwave公司向paypal-office.com, myaccount-paypal.com and paypal-sign.com三个利用paypal名号进行诈骗的网站发放了OV证书。证书的接受者是印度一位名叫Asha Shaikh的个人,他有可能是诈骗网站背后的造假者,也有可能只是诈骗活动的一个受害者。这个网络钓鱼活动现已停止,但Trustwave公司在本文撰稿时仍然没有吊销其网站证书。
网站认证方一般发放三种类型的担保证书:域名有效证书(DV),此证书仅授权对域名的控制;组织有效证书(OV),包含了对组织的身份认证;以及扩展有效证书(EV),此证书需核查组织身份是否符合行业公认标准。
DV,OV和EV有时候只有微妙的区别:为用户提供咨询的许多信息并不具体区分哪些证书提供进一步身份认证,哪些证书只授权域名的所有权。 例如,谷歌Chrome帮助页面声明:“判断网站的真假,可以检查其实是否拥有TLS/SSL证书。”
大部分诈骗域名拥有的证书仅仅是域名有效证书,尽管一些此类网站看起来拥有组织有效证书。与Cloudfare的Universal SSL项目相关的不少SSL证书表面上看来是组织有效证书;然而,事实却是,真正被核查组织身份的是Cloudfare本身,而不是它的个体用户。
绝大多数高担保级别证书的请求都会在发放前经过工作人员审核,而不是由系统自动处理,这种自动方式只有可能运用于域名有效证书申请。这种额外的认证让人面对下述情况时更觉惊讶:申请含有paypal词组的证书难道不具有高度的风险,难道不会在经过全面审核后最终被驳回。
通过发放证书,Trustwave提供了甲方担保,担保责任涵盖Trustwave证书持有者虚假的信用卡收费信息。然而,这种担保并不能涵盖其他类型的作假,也就是说并不涵盖盗取账户或者使用其他支付方式的付款。这就是说,尽管此次网络诈骗的受害者的Paypal账户被持有Trustwave证书的造假者窃取,他们也不能根据这个担保协议进行索赔。
来源:Netcraft
