Un sito Web di phishing può utilizzare il certificato originale (HTTPS, TLS)? [duplicare]

If one has a phishing website that uses the original certificate that was obtained by accessing that website,

No, non può, perché non ha accesso alla chiave privata del sito web originale. Se potesse, l'intera PKI non avrebbe alcun senso.

can an attack fool users to believe they are accessing legitimate websites?

Sì, ma usando mezzi diversi dal certificato originale.

If not, how will it get caught?

Il sito Web di phishing non verrà "catturato". L'utente non vedrà un certificato corretto nel browser del client.

If one has a phishing website that uses the original certificate that was obtained by accessing that website, can an attack fool users to believe they are accessing legitimate websites?

Sì. Fintanto che ottengono anche la chiave privata.

Per falsificare un certificato valido (e ottenere un lucchetto SSL verde) esistono solo due modi, lo so:

1. Hack il sito Web, ottieni la chiave privata e il certificato e usalo (speriamo che la pagina abbia una buona sicurezza, quindi questo non accade)
2. Trova un'autorità di certificazione SSL bug e ottieni un certificato, o trovando un bug o attraverso l'ingegneria sociale non importa, alla fine hai un certificato valido (firmato dalla CA). Questo NON è lo stesso, ma è ancora valido

If not, how will it get caught?

Come già detto da techraf, se il certificato non è attendibile, ad es. poiché è autofirmato o la CA è stata espulsa dal tuo portachiavi, hai un errore del genere:

Don't you need the same domain name for #1 to work? Won't LetsEncrypt do the same as #2 but without trying to be sneaky or illegal?

Devi in qualche modo condurre la vittima sul tuo server, sì. Questo può essere giù possedendo il DNS. Ebay è stato rubato qualche anno fa.

Ma hai ragione. L'utilizzo del certificato ha senso solo se viene utilizzato il dominio originale. Phising utilizza normalmente domini diversi, che puoi ufficialmente e legalmente ottenere solo un certificato

Questo in realtà non è impossibile. Oltre alla chiave privata rubata, c'è un altro attacco.

Se in qualsiasi punto del sito https esiste un attacco XSS che consente l'iniezione javascript (anche se la pagina è normalmente irraggiungibile) qualcuno può inserire un link nella posta elettronica che sfrutta l'XSS per sovrascrivere la pagina con un modulo che invia submit = a un sito https scelto dall'attaccante.

O forse qualcuno ha dirottato solo il DNS e vuole vedere chi è tanto stupido da fare clic sui collegamenti di phishing prima di iniziare un attacco di spear phishing.

Ci sono molte cose che potresti voler dire con "il sito Web di phishing utilizza il certificato originale". Se intendi letteralmente lo stesso identico certificato, nella maggior parte dei casi no non avranno accesso a questo. (Anche se non è impossibile, è solo meno probabile.)

Se qualcuno a un certo punto può emettere certificati da un'autorità di certificazione attendibile è molto più semplice quindi emettere semplicemente un nuovo certificato per il dominio di phishing.

I modi più probabili per attaccarti in questo caso sarebbero quelli con il controllo del tuo ISP o delle reti wireless a cui ti connetti. Le grandi aziende sono state conosciute per fare questo al traffico Internet della loro azienda per consentire loro di ispezionare il traffico crittografato.

Il punto qui è che in realtà, sì, è possibile falsificare i certificati ad alcuni livelli, non è molto probabile che sia qualcosa che vedrai.

Un sito Web contraffatto potrebbe utilizzare una falsa catena di certificati o utilizzare un ancoraggio trust falso per ottenere che l'icona HTTPS del browser mostri "il lucchetto chiuso". L'attaccante deve spoofare solo uno dei possibili antenati fidati per la situazione. Dipende anche dalle impostazioni del browser e dal livello di confidenza con gli antenati fidati.

Controlla qui per la fiducia ancora definizione

Controlla qui per la catena di fiducia definizione

Verifica la autorità di certificazione definizione