Kostenlose SSL-Zertifikate werden für Phishing missbraucht

IT-ManagementIT-ProjekteSicherheitSicherheitsmanagementVirus
Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

Die PSW Group aus Fulda hat darauf hingewiesen, dass Kriminelle aktuell vom Content Delivery Network CloudFlare vergebene, echte Zertifikate nutzen, um gefälschte Seiten vertrauenswürdiger erscheinen zu lassen. Die Phishing-Seite sieht der von PayPal täuschend ähnlich. PSW-Chef Heutger kritisiert aus diesem Anlass auch andere Dienste, die SSL-Zertifikate ohne umfangreichen Prüfung vergeben.

Kriminelle missbrauchen offenbar zunehmend gültige SSL-Zertifikate, um Phishing-Sites aufzusetzen. Darauf hat jetzt der Dienstleister PSW Group aus Fulda hingewiesen. Den IT-Security Experten des Unternehmens zufolge stammt das von den Kriminellen verwendete Zertifikat in einem aktuellen Fall, bei dem eine der Paypal-Website nachempfundene Phishing-Site damit ausgestattet wurde, vom CDN-Dienst CloudFlare. Der bietet bereits seit geraumer Zeit SSL-Zertifikate kostenfrei an.

Christian Heutger, Geschäftsführer der PSW Group, steht kostenlos und unbürokratisch vergeben SSL-Zertifikate für gefärhlich (Bild: PSW Group).
Christian Heutger, Geschäftsführer der PSW Group, steht kostenlos und unbürokratisch vergeben SSL-Zertifikate für gefährlich (Bild: PSW Group).

Christian Heutger, Geschäftsführer der PSW Group sieht dieses Angebot kritisch: “Dienste wie CloudFlare machen es Kriminellen aber auch zu einfach: Nach der in Sekunden bei dem Dienst abgeschlossenen Registrierung, in der keinerlei persönliche Daten des Domaininhabers abgefragt werden, passt dieser nur noch seine DNS-Einstellungen an. 24 Stunden später wird die Webseite mit einem von Comodo gezeichneten SSL-Zertifikat ausgestattet.“

Allerdings sei CloudFlare nicht der einzige Service, der Cyberkriminelle geradezu einlade. Auch die neue Zertifizierungsstelle Let’s encrypt und andere Anbieter, die Zertifikate ohne umfangreiche Prüfung der Daten des Domaininhabers herausgeben, machen es sein Ansicht nach Kriminellen zu leicht, die Nutzer zu täuschen.

Die Initiatoren von Let´s Encrypt sehen das anders. Zu ihnen gehören immerhin Cisco, Mozilla, Akamai und die US-Verbraucherschutzorganisation Electronic Frontier Foundation (EFF). Sie wollen mit dem im November angekündigten und für die zweite Hälfte dieses Jahres geplanten Dienst den Schutz der Privatsphäre im Internet verbessern. “Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten”, erklärte Josh Aas, Executive Direktor der Internet Research Group, die mit dem Betrieb der Certificate Authority beauftragt wurde, beid er Ankündigung.

“Solange es Zertifizierungsstellen gibt, die ohne Angabe von Daten und ohne jedwede Prüfung SSL-Zertifikate kostenlos ausstellen, solange werden auch Cyberkriminelle kinderleicht manipulierte Websites aufsetzen können”, beleuchtet Heutger die Kehrseite der Medaille. “Hinter der echten PayPal Website steht ein riesiges Unternehmen, das für seine Website ein EV SSL-Zertifikat von Symantec verwendet. EV steht für Extended Validation und beinhaltet eine sehr umfangreiche Prüfung des Zertifikatinhabers”, so Heutger weiter. “Auch bei der Organisations-Validierung gehen die Zertifizierungsstellen gründlich vor und schauen sich Handelsregisterauszug sowie Whois-Eintrages des Domain-Inhabers an und nehmen auch telefonisch Kontakt auf.”

Für Nutzer mit EV-Zertifikaten gesicherte Webseiten schon seit Jahren am grünen Schlosssymbol in der Browser-Leiste erkennbar. Ein Klick darauf zeigt die Inhalte des Zertifikats an, zu denen immer auch der Name des Unternehmens gehört.

Die echte Paypal-Website mit dem am grünen Schlosssysmbol erkennbaren EV SSL-Zertifikat und den nach einem Klick darauf angezeigten Zertifikatsinhalten (Screenshot: ITespresso).
Die echte Paypal-Website mit dem am grünen Schlosssysmbol erkennbaren EV SSL-Zertifikat und den nach einem Klick darauf angezeigten Zertifikatsinhalten (Screenshot: ITespresso).
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen