Joseph Chen, giám đốc điều hành bảo mật doanh nghiệp bộ phận lừa đảo phát hiện những hoạt động này vào ngày 21/12.
Người dân tại Nhật Bản đã truy cập một trang web bị nhiễm mã độc thông qua mã hóa HTTPS bằng cách sử dụng chứng nhận được cấp của chương trình LE (Let’s Encrypt). Trang web trên sử dụng virus Angler Exploit Kit để lây nhiễm máy tính bằng các phần mềm khó chịu, được thiết kế nhằm tấn công các tài khoản ngân hàng trực tuyến của họ.
Các chuyên gia của phần mềm diệt virus Trend micro cho hay, việc mã hóa giúp bảo vệ phần mềm độc hại không bị phát hiện bởi máy quét an ninh trực tuyến trong quá trình chuyển tiếp, và giấy chứng nhận đã giúp hợp pháp hóa các trang web độc hại. Trước khi cài đặt chứng nhận LE, những kẻ tấn công xâm nhập một máy chủ nặc danh, tạo subdomain riêng của họ cho trang web của máy chủ, và thu được một giấy chứng nhận HTTPS miễn phí cho tên miền phụ đó.
Những kẻ gian cài đặt chứng nhận trên máy chủ đã bị tổn hại, và sau đó gài vào một quảng cáo bẫy từ tên miền phụ đó. Các quảng cáo này cũng chứa mã chống lại phần mềm diệt virus. Chen chỉ trích chính sách chương trình LE rằng nó không phải là một bộ lọc nội dung, anh cũng nói rằng cơ quan chứng nhận có một vai trò nhất định trong việc ngăn chặn các cuộc tấn công như thế này và rằng họ cần phải làm nhiều hơn là chỉ kiểm tra giấy chứng nhận đối với API an toàn truy cập của Google. Ông cảm thấy cần có cơ chế để ngăn chặn việc đăng ký cert trái phép cho tên miền và tên miền phụ của họ.
Thông tin từ phần mềm diệt virus tốt nhất Trend Micro, đại diện chương trình LE, Josh Aas, giám đốc điều hành của Tập đoàn nghiên cứu an ninh trực tuyến, phát biểu với tờ The Register rằng chính sách quản lý của công ty được đăng tải trong bài viết trên blog này từ tháng 10/2015 vẫn còn hiệu lực.
Chúng tôi tin rằng hệ sinh thái chứng nhận không phải là cơ chế thích hợp để có thể lừa cảnh sát và phát tán phần mềm độc hại trên web. Thực ra các cơ chế khác như Safe Browsing (duyệt web an toàn), SmartScreen (màn hình thông minh), hay trong trường hợp này việc kiểm soát nội bộ các mạng quảng cáo, lại hiệu quả và phù hợp hơn trong việc này.
Chúng tôi cũng kiểm tra các API Duyệt web an toàn của Google cho tình trạng lừa đảo trước khi ra chứng nhận, nhưng sau đó thế nào chúng tôi không chịu trách nhiệm. Điều đó không thực tế và không hiệu quả. Chúng tôi sẽ không thu hồi chứng chỉ được đề cập, nhưng có vẻ như các trang web gặp vấn đề đã bị thảo dỡ.
Về cơ bản: an toàn máy chủ của riêng bạn, chứ không nên dựa vào Let's Encrypt đảm bảo an toàn cho bạn.