Considera lo scenario seguente dando un attacco ipotetico:
-
Crypto.com vende cryptostock e accetta pagamenti tramite PayEasy.com. Le pagine del sito complete (di crypto.com) sono servite tramite HTTPS.
-
Mentre viaggia in un paese straniero, Bob visita crypto.com sul suo laptop dalla sua rete di hotel e fa clic sul pulsante "acquista ora" per 10 cryptostock. Viene inoltrato a PayEasy.com utilizzando un link
<a href='https://PayEasy.com/pay?amt=100&id=bob'/>
- Un utente malintenzionato (come l'ISP) riesce a reindirizzare tutto il traffico destinato a
PayEasy.com
dal computer di Bob a un sito fittizio che ha impostato chiamatoPayEazy.com
. Quando Bob effettua una query DNS per PayEasy.com, l'utente malintenzionato restituisce l'indirizzo IP di PayEazy.com.Questo sito ha anche una connessione HTTPS utilizzando un vero SSL ottenuto da una CA che utilizza "domain-validation ". Il certificato conferma che il sito è servito da payeazy.com. Un utente malintenzionato deve eseguire questa operazione, poiché altrimenti il browser di Bob darà un avviso e potrebbe non riuscire nell'attacco. Pertanto, Bob fa effettivamente clic su un link equivalente a<a href='https://PayEazy.com/pay?amt=100&id=bob'/>
- Bob non sospetta mai nulla perché vede la barra verde e non si è nemmeno preso la briga di leggere sul sito di crypto.com che utilizza PayEasy.com. Anche se Bob sapeva che PayEasy.com è il processore di pagamento di crypto.com, non nota la leggera differenza in PayEazy.com. Bob effettua il pagamento di $ 100 per 10 cryptostock e aspetta ma non arrivano mai.
- Bob ritiene che Crypto.com sia un truffatore e li fa causa. A seconda del caso, gli avvocati di Crypto.com chiedono a Bob di dimostrare che Crypto.com lo ha inviato al link anziché a link . Bob non può dimostrarlo e perde. Il caso potrebbe essere andato in entrambi i modi, poiché anche Crypto.com non avrebbe potuto provare di aver effettivamente inviato Bob a link e non a link
In primo luogo, questo attacco è realistico. In secondo luogo, come prevenirlo? (Questo è simile all'esempio riportato nell'articolo Schneier's PalmPilot )
Come esempio di questo attacco: link è un link sicuro a google.com
. Supponendo che questo sito ( security.stackexchange.com
) sia pubblicato su HTTPS. Ora modifica il tuo hosts.file 'in modo che l'indirizzo IP di google.com
punti a yahoo.com
e fai clic sul link sopra.