Hunderte SSL-Zertifikate für Phishing-Seiten ausgestellt

Phishing-Seiten werden immer besser. Diese den jeweiligen Anbietern täuschend echt nachempfundenen Seiten versuchen den Kunden sensible Daten abzujagen. SSL-Zertifizierte Seiten erscheinen auf den ersten Blick seriös und daher sicher. Diese Seriosität wird von Online-Betrügern jedoch gerne ausgenutzt.

Sicherheitsforscher von Netcraft warnen in einem Artikel vor missbräuchlichen Registrierungen von Online-Betrügern, die die Zertifikate für ihre Phishing-Seiten verwenden und so an sensible Daten wie zum Beispiel Kontoverbindungen, Passwörter oder Kreditkartendaten gelangen wollen. Einem Bericht von Heise zufolge wurden in einem Zeitraum von nur einem Monat mehrere hundert solcher Registrierungen von den Online-Betrügern durchgeführt.

Bild Netcraft

Schuld an der Möglichkeit einer schnellen Registrierung seien zu laxe Richtlinien der SSL-Zertifikatstellen. Man müsse lediglich nachweisen, dass man die Kontrolle über eine Domain inne hat und schon nach ein paar Minuten wird das Zertifikat zugestellt. Es gibt im Internet einige Anbieter, bei denen man schnell und kostenlos eigene SSL-Zertifikate erstellen kann.

Unsichere Anbieter?

Der Anbieter Comodo, der auch durch unseren Artikel über die S-MIME-Verschlüsselung von E-Mails bekannt ist, bietet zum Beispiel kostenlos ein 90-Tage-Test-Zertifikat an. Dieses sei bei Betrügern beliebt. Auch Zertifikate von Symantec sollen für Phishing-Seiten verwandt worden sein. Mit 41 Prozent führt jedoch der Anbieter Cloudflare die Rangliste der durch Online-Betrüger registrierten SSL-Zertifikate im August 2015 an. Cloudflare soll durch Partnerschaften mit den Anbietern Comodo und Globalsign zusammen arbeiten. Zudem fiel Cloudflare Anfang des Jahres 2015 durch negative Schlagzeilen in Bezug auf das Ausstellen von Zertifikaten für Paypal-Phishing-Seiten auf.

Anbieter wie Digicert oder Entrust seien Netcraft zufolge durch umfangreichere Richtlinien etwas strenger und erschweren die Registrierung, was jedoch nicht heißt, dass die täuschend echt aussehenden Seiten mit diesen Zertifikaten automatisch seriös seien.

Was ist ein digitales Zertifikat wie SSL?

Auf Wikipedia wird dies kurz und gut beschrieben: “Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten.”

Einige weitere Fragen werden auf dieser (mit eigenem Zertifikat signierten) Website gut erläutert.

Kurz zusammen gefasst genießen SSL-Zertifizierte Websites ein höheres Ansehen, als welche, die ohne “Echtheitsnachweis” im Internet aufrufbar sind. Zudem wird der Datenverkehr von und zu dieser Website verschlüsselt übertragen, was für mehr Sicherheit, gerade beim Online-Banking oder bei Online-Bestellungen, bei denen zum Beispiel Kreditkartendaten eingegeben werden müssen, sorgen soll.

Wie kann ich mir das Zertifikat ansehen?

Im Beispiel der Thawte Website können Einzelheiten dieses Zertifikats mit einem Klick auf das grüne Schloss und anschliessendem Klick auf “Zertifikat anzeigen” eingesehen werden.

Alles Panikmache?

Das heißt nun nicht, dass Anbieter von kostenlosen Zertifikaten unsicher sind oder prinzipiell jede von diesen Anbietern zertifizierte Seite eine Phishing-Seite darstellt. Man sollte jedoch am besten zwei Augen auf jede Website werfen, die sensible Daten anfordert. Das Zertifikat alleine sollte demnach nicht sofort für ein Sicherheitsgefühl sorgen. Eine Verschlüsselung ist zwar gut, aber diese ist nur soweit sicher, wie man dieser jeweiligen Website auch vertrauen kann.

Links aus E-Mails sollten daher in jedem Fall mit Vorsicht angeklickt werden. Auch die heimische Online-Banking-Seite sollte nicht aus einer vermeintlichen E-Mail sondern immer per “sauberen Bookmark” angesteuert werden. Eine Verschlüsselung und digitale Signierung ist nützlich und gut, schützt aber nicht vor Betrügereien.