Se uno ha un sito Web di phishing che utilizza il certificato originale ottenuto accedendo a quel sito Web, può un attacco ingannare gli utenti a credere di accedere a siti Web legittimi?
In caso contrario, come verrà catturato?
If one has a phishing website that uses the original certificate that was obtained by accessing that website,
No, non può, perché non ha accesso alla chiave privata del sito web originale. Se potesse, l'intera PKI non avrebbe alcun senso.
can an attack fool users to believe they are accessing legitimate websites?
Sì, ma usando mezzi diversi dal certificato originale.
If not, how will it get caught?
Il sito Web di phishing non verrà "catturato". L'utente non vedrà un certificato corretto nel browser del client.
If one has a phishing website that uses the original certificate that was obtained by accessing that website, can an attack fool users to believe they are accessing legitimate websites?
Sì. Fintanto che ottengono anche la chiave privata.
Per falsificare un certificato valido (e ottenere un lucchetto SSL verde) esistono solo due modi, lo so:
If not, how will it get caught?
Come già detto da techraf, se il certificato non è attendibile, ad es. poiché è autofirmato o la CA è stata espulsa dal tuo portachiavi, hai un errore del genere:
Don't you need the same domain name for #1 to work? Won't LetsEncrypt do the same as #2 but without trying to be sneaky or illegal?
Devi in qualche modo condurre la vittima sul tuo server, sì. Questo può essere giù possedendo il DNS. Ebay è stato rubato qualche anno fa.
Ma hai ragione. L'utilizzo del certificato ha senso solo se viene utilizzato il dominio originale. Phising utilizza normalmente domini diversi, che puoi ufficialmente e legalmente ottenere solo un certificato
Questo in realtà non è impossibile. Oltre alla chiave privata rubata, c'è un altro attacco.
Se in qualsiasi punto del sito https esiste un attacco XSS che consente l'iniezione javascript (anche se la pagina è normalmente irraggiungibile) qualcuno può inserire un link nella posta elettronica che sfrutta l'XSS per sovrascrivere la pagina con un modulo che invia submit = a un sito https scelto dall'attaccante.
O forse qualcuno ha dirottato solo il DNS e vuole vedere chi è tanto stupido da fare clic sui collegamenti di phishing prima di iniziare un attacco di spear phishing.
Ci sono molte cose che potresti voler dire con "il sito Web di phishing utilizza il certificato originale". Se intendi letteralmente lo stesso identico certificato, nella maggior parte dei casi no non avranno accesso a questo. (Anche se non è impossibile, è solo meno probabile.)
Se qualcuno a un certo punto può emettere certificati da un'autorità di certificazione attendibile è molto più semplice quindi emettere semplicemente un nuovo certificato per il dominio di phishing.
I modi più probabili per attaccarti in questo caso sarebbero quelli con il controllo del tuo ISP o delle reti wireless a cui ti connetti. Le grandi aziende sono state conosciute per fare questo al traffico Internet della loro azienda per consentire loro di ispezionare il traffico crittografato.
Il punto qui è che in realtà, sì, è possibile falsificare i certificati ad alcuni livelli, non è molto probabile che sia qualcosa che vedrai.
Un sito Web contraffatto potrebbe utilizzare una falsa catena di certificati o utilizzare un ancoraggio trust falso per ottenere che l'icona HTTPS del browser mostri "il lucchetto chiuso". L'attaccante deve spoofare solo uno dei possibili antenati fidati per la situazione. Dipende anche dalle impostazioni del browser e dal livello di confidenza con gli antenati fidati.
Controlla qui per la fiducia ancora definizione
Controlla qui per la catena di fiducia definizione
Verifica la autorità di certificazione definizione