Sitios del gobierno de EE. UU. Dan malos consejos de seguridad – Krebs on Protection


Muchos sitios internet del gobierno de EE. UU. Ahora llevan un mensaje prominente en la parte superior de sus páginas de inicio destinado a ayudar a los visitantes a distinguir mejor entre las propiedades oficiales del gobierno de EE. UU. Desafortunadamente, parte de ese mensaje es engañoso y puede ayudar a perpetuar un malentendido common sobre la seguridad del sitio world-wide-web y la confianza que los phishers han estado explotando durante años.

Por ejemplo, el oficial Oficina del Censo de EE.UU sitio net https://my2020census.gov lleva un mensaje que dice: “Un sitio net oficial del gobierno de los Estados Unidos. Así es como lo sabes «. Al hacer clic en la última parte de esa declaración, aparece un panel con la siguiente información:

Un mensaje que se muestra en la parte excellent de muchos sitios web .gov de EE. UU.

El texto con el que tengo problemas se encuentra a la derecha, debajo de la declaración «Este sitio es seguro». Específicamente, dice: «El https: // asegura que te estás conectando al sitio world-wide-web oficial …».

Aquí está el trato: la parte https: // de una dirección (también llamada «Capa de sockets seguros» o SSL) simplemente significa que los datos que se transmiten de un lado a otro entre su navegador y el sitio están encriptados y no pueden ser leídos por terceros.

Sin embargo, la presencia de «https: //» o un candado en la barra de direcciones del navegador no significa que el sitio sea legítimo, ni es ninguna prueba de que el sitio ha sido reforzado con seguridad contra la intrusión de los hackers.

En otras palabras, aunque los lectores nunca deben transmitir información confidencial a un sitio que no united states https: //, la presencia de esta característica de seguridad no le dice nada sobre el integridad del sitio en cuestión.

Aquí hay una estadística aleccionadora: según PhishLabs, a fines de 2019, aproximadamente tres cuartos (74 por ciento) de todos los sitios de phishing usaban certificados SSL. PhishLabs encontró Este porcentaje aumentó del 68% en el tercer trimestre y del 54% en el segundo trimestre de 2019.

«Los atacantes están utilizando certificados gratuitos en los sitios de phishing que crean, y están abusando del cifrado ya instalado en los sitios world wide web pirateados», fundador y director de tecnología de PhishLabs John LaCour dijo.

Imagen: PhishLabs.com

La verdad es que cualquiera puede obtener un certificado SSL de forma gratuita, y esa es una gran razón por la cual la mayoría de los sitios de phishing ahora los tienen. La otra razón es que ayudan a los phishers a disfrazar mejor sus sitios como legítimos, ya que muchos navegadores internet ahora arrojan advertencias de seguridad en sitios que no son https: //.

KrebsOnSecurity no pudo encontrar ninguna información confiable sobre lo difícil que puede ser obtener un certificado SSL para un sitio .gov una vez que uno tiene un dominio .gov, pero aparentemente no es difícil para cualquiera obtener su propio dominio .gov nombre.

los Administración de servicios generales de EE. UU. (GSA), que supervisa la emisión de dominios .gov, recientemente hizo que sea un poco más difícil hacerlo, al exigir que todas las solicitudes sean certificadas ante notario, pero esto parece un pequeño obstáculo para que los estafadores lo eliminen.

De todos modos, parece que el gobierno federal está perjudicando a los consumidores con este mensaje, al perpetuar el mito de que la presencia de «https: //» en un enlace denota cualquier tipo de legitimidad.

«Https» no significa que esté en el sitio world wide web correcto o que el sitio sea seguro «, dijo LaCour. “Solo indica que la conexión está encriptada. El servidor aún podría estar mal configurado o tener vulnerabilidades de software. Es bueno que mencionen buscar «.gov». No hay garantía de que un sitio internet .gov sea seguro, pero debería ayudar a garantizar que los visitantes estén en el sitio world wide web correcto «.

Debo señalar que este mensaje engañoso parece estar presente solo en algunos sitios world wide web del gobierno federal. Por ejemplo, mientras que los sitios para la GSA, el Departamento de Trabajo, Departamento de transportey Departamento de Asuntos de Veteranos todos incluyen la misma redacción, los del Departamento de Comercio y Departamento de Justicia están desprovistos del texto engañoso, que dice:

«Este sitio también está protegido por un certificado SSL (Safe Sockets Layer) firmado por el gobierno de EE. UU. Https: // significa que todos los datos transmitidos están encriptados en otras palabras, cualquier información o historial de navegación que proporcione se transmitirá de forma segura «.

Otros sitios federales, como dhs.gov, irs.gov y epa.gov – simplemente tenga la declaración «Un sitio website oficial del gobierno de los Estados Unidos» en la parte excellent, sin ofrecer ningún consejo sobre cómo sentirse mejor con esa declaración.


Etiquetas: John LaCour, OMB, phishing, PhishLabs, Administración de Servicios Generales de EE. UU., Oficina de Administración y Presupuesto de la Casa Blanca

Esta entrada fue publicada el miércoles 25 de marzo de 2020 a las 3:30 pm y se archiva bajo A Very little Sunshine.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial