16. Januar 2015 pi/Rudolf Felser

CloudFlare SSL-Zertifikate für Phishing missbraucht

Cyberkriminelle missbrauchen kostenlose SSL-Zertifikate, um ihren Websites den Anschein der Seriösität zu geben, warnt die PSW GROUP. [...]

Der CDN-Dienst CloudFlare bietet seit geraumer Zeit SSL-Zertifikate kostenfrei an. Nun missbrauchten Cyberkriminelle den Dienst, indem sie eine täuschend echt wirkende Phishing-Webseite aufgesetzt haben, die mit gültigem SSL-Zertifikat ausgeliefert wird, warnen die IT-Security Experten der PSW GROUP. In einem aktuellen Fall haben Cyberkriminelle eine Phishing-Seite erstellt, die der von PayPal täuschend ähnlich ist. „Dienste wie CloudFlare machen es Kriminellen aber auch zu einfach: Nach der in Sekunden bei dem Dienst abgeschlossenen Registrierung, in der keinerlei persönliche Daten des Domaininhabers abgefragt werden, passt dieser nur noch seine DNS-Einstellungen an. 24 Stunden später wird die Webseite mit einem von Comodo gezeichneten SSL-Zertifikat ausgestattet“, informiert Christian Heutger, Geschäftsführer der PSW GROUP.

CloudFlare ist allerdings nicht der einzige Service, der nach Meinung des IT-Sicherheitsexperten Cyberkriminelle geradezu einlädt. Ob nun bei CloudFlare, der neuen Zertifizierungsstelle Let’s encrypt oder weiteren Anbietern: Ohne eine umfangreiche Validierung, also Prüfung der Daten des Domaininhabers, wird es Kriminellen zu leicht gemacht. „Hinter der echten PayPal Website steht ein riesiges Unternehmen, das für seine Website ein EV SSL-Zertifikat von Symantec verwendet. EV steht für Extended Validation und beinhaltet eine sehr umfangreiche Prüfung des Zertifikatinhabers“, verdeutlicht Christian Heutger am aktuellen Fall den Unterschied zum gewöhnlichen SSL-Zertifikat. Erkennbar für Nutzer sind mit EV-Zertifikaten gesicherte Webseiten am grünen Schlosssymbol in der Browser-Leiste. Nach Klick auf das Symbol werden die Inhalte des Zertifikats, unter anderem der Name des Unternehmens, angegeben.

Auch bei der Organisations-Validierung prüfen die Zertifizierungsstellen übrigens ausführlich: Ein Handelsregisterauszug, der Abgleich des Whois-Eintrages des Domain-Inhabers sowie telefonischer Kontakt vermeiden kriminelle Machenschaften. „Solange es allerdings Zertifizierungsstellen gibt, die ohne Angabe von Daten und ohne jedwede Prüfung SSL-Zertifikate kostenlos ausstellen, solange werden auch Cyberkriminelle kinderleicht manipulierte Websites aufsetzen können“, so Heutger. (pi)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*