Belangrijke onderzoeksresultaten:
- Vijf van de onderzochte Tor-netwerken hebben een continu aanbod van TLS/SSL-certificaten, in combinatie met gerelateerde diensten en producten.
- Certificaatprijzen variëren van $ 260 tot $ 1.600, afhankelijk van het type certificaat dat wordt aangeboden en het aantal bijbehorende diensten.
- Er zijn validatiecertificaten met diensten te koop ter ondersteuning van kwaadaardige websites, zoals Google-geïndexeerde ‘oude’ domeinen, after-sales support, webdesigndiensten en integratie met verschillende betalingsverwerkers - waaronder Stripe, PayPal en Square.
- Minimaal één leverancier op BlockBooth belooft certificaten uit te geven van gerenommeerde certificaatautoriteiten, samen met vervalste bedrijfsdocumentatie - inclusief DUNS-nummers. Met dit pakket aan producten en diensten kunnen aanvallers zich op geloofwaardige wijze presenteren als een betrouwbaar Amerikaans of Brits bedrijf voor minder dan $ 2.000,--.
Onderzoeksmethode
De academische onderzoekers hebben van oktober 2018 tot januari 2019 online markten en hackerfora onderzocht die actief waren op het Tor-netwerk, I2P en het Freenet. Daar zochten ze naar advertenties van te koop aangeboden gecompromitteerde en vervalste TLS-certificaten. Tijdens genoemde periode heeft het onderzoeksteam elke week 16 zoekopdrachten uitgevoerd en daarmee bijna 60 relevante online markten op Tor en 17 webpagina's op I2P ontdekt. Tevens hebben ze een aantal aangeboden certificaten gedetailleerd onderzocht en met enkele verkopers gecommuniceerd om beter inzicht te krijgen in de aangeboden diensten.
Gespecialiseerde markten voor TLS-certificaten
Eén representatieve zoekopdracht op vijf marktplaatsen heeft maar liefst 2.943 vermeldingen van ‘SSL’ en 75 van ‘TLS’ opgeleverd. Ter vergelijking, er waren maar 531 vermeldingen over ‘ransomware’ en 161 voor ‘zero days’. Het was ook duidelijk dat een aantal marktplaatsen - zoals Dream Market - zich lijkt te specialiseren in de verkoop van TLS-certificaten. Deze leveren de kopers effectieve ‘machine-identiteit-als-een-service’. Bovendien ontdekten de onderzoekers dat certificaten vaak worden verpakt met andere crimeware, waaronder ransomware.
Om te kunnen beoordelen moet u ingelogd zijn: