Zertifizierungsstellen vergaben fleißig SSL-Zertifikate an Betrüger
Die Kriminellen verwenden die Zertifikate zum Legitimieren von Phishing-Sites. Symantec, GoDaddy, Comodo und andere Behörden haben Zertifikate offensichtlich ohne sorgfältige Kontrolle ausgegeben. Laut NetCraft wurden innerhalb eines Monats Hunderte “betrügerische” Zertifikate verteilt.
Das britische Sicherheitsunternehmen Netcraft hat jetzt darauf hingewiesen, dass mehrere Zertifizierungsstellen innerhalb eines Monats Hunderte SSL-Zertifikate für Domains ausgestellt haben, die offenbar ausschließlich für Betrugsversuche registriert wurden. Das Ziel der Kriminellen sei es gewesen, beispielsweise die Glaubwürdigkeit von Phishing-Websites zu erhöhen. Unter anderem betreffen die Vorwürfe die Zertifizierungsstellen Comodo, Symantec (Verisign) und GoDaddy.
Comodo habe ein Zertifikat für die Domain “banskofamerica.com” ausgestellt, Symantec für “ssl-paypai-inc.com” und “itunes-security-net” sowie GoDaddy für “paypwil.com”. Obwohl sich die Branche verpflichtet habe, Anfragen sorgfältig auf mögliche Risiken zu prüfen, schlüpften einige Betrüger doch immer wieder “durchs Netz”, führt Netcraft aus.
Als Hauptquelle der “betrügerischen” Zertifikate hat Netcraft allerdings das Content Delivery Network CloudFlare identifiziert. Es soll 39 Prozent jener SSL-Zertifikate ausgestellt haben, die im August für Phishing-Attacken mit gefälschten Websites eingesetzt wurden. Ein Vorteil von CloudFlares Universal SSL ist demnach, dass die Angreifer SSL nicht für ihre eigenen Webserver konfigurieren müssen.
Via SSL respektive TLS verschlüsselte Websites nehmen Verbraucher laut NetCraft als besonders vertrauenswürdig wahr. Das werde noch durch das von den meisten Browsern der URL vorangestellte Schlüsselsymbol verstärkt. Verbraucher neigten daher auch dazu anzunehmen, dass solche eine Seite, die nach einem Passwort oder einer Kreditkartennummer fragt, von einer rechtmäßigen Organisation betrieben wird.
NetCraft bemängelt aber auch, dass einige Anbieter Zertifikate mit einer limitierten Laufzeit von 30 oder 90 Tagen kostenlos ausstellen. “Die kurzen Gültigkeitszeiträume sind ideal für Betrüger, da Phishing-Angriffe normalerweise nur eine kurze Laufzeit haben.”
Überdies würden Zertifikate der Stufe “Domain validated”, bei der lediglich die Authentizität der Domain geprüft wird, oftmals automatisch in wenigen Minuten erteilt und entgegen den Branchenregeln ohne jegliche Kontrollen. Das mache es Betrügern besonders einfach, Zertifikate für irreführende Domains zu bekommen.
Browser warnen Anwender für gewöhnlich, wenn ein Zertifikat einer Website abgelaufen ist, nicht richtig implementiert wurde oder nicht zur aufgerufenen Domain passt. Wurde eine irreführende Website wie “pay-pal.co.com” allerdings korrekt zertifiziert, zeigt ein Browser dasselbe grüne Schlüsselsymbol an wie beim Aufruf von “paypal.com”, der offiziellen Seite des Bezahldienstleisters. In dem Fall kann ein Betrugsversuch – je nach Qualität der Phishing-Website – nur durch einen genauen Blick auf die URL bemerkt werden.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.