Kostenlose SSL-Zertifikate werden für Phishing missbraucht
Kriminelle missbrauchen offenbar zunehmend gültige SSL-Zertifikate, um Phishing-Sites aufzusetzen. Darauf hat jetzt der Dienstleister PSW Group aus Fulda hingewiesen. Den IT-Security Experten des Unternehmens zufolge stammt das von den Kriminellen verwendete Zertifikat in einem aktuellen Fall, bei dem eine der Paypal-Website nachempfundene Phishing-Site damit ausgestattet wurde, vom CDN-Dienst CloudFlare. Der bietet bereits seit geraumer Zeit SSL-Zertifikate kostenfrei an.
Christian Heutger, Geschäftsführer der PSW Group sieht dieses Angebot kritisch: “Dienste wie CloudFlare machen es Kriminellen aber auch zu einfach: Nach der in Sekunden bei dem Dienst abgeschlossenen Registrierung, in der keinerlei persönliche Daten des Domaininhabers abgefragt werden, passt dieser nur noch seine DNS-Einstellungen an. 24 Stunden später wird die Webseite mit einem von Comodo gezeichneten SSL-Zertifikat ausgestattet.“
Allerdings sei CloudFlare nicht der einzige Service, der Cyberkriminelle geradezu einlade. Auch die neue Zertifizierungsstelle Let’s encrypt und andere Anbieter, die Zertifikate ohne umfangreiche Prüfung der Daten des Domaininhabers herausgeben, machen es sein Ansicht nach Kriminellen zu leicht, die Nutzer zu täuschen.
Die Initiatoren von Let´s Encrypt sehen das anders. Zu ihnen gehören immerhin Cisco, Mozilla, Akamai und die US-Verbraucherschutzorganisation Electronic Frontier Foundation (EFF). Sie wollen mit dem im November angekündigten und für die zweite Hälfte dieses Jahres geplanten Dienst den Schutz der Privatsphäre im Internet verbessern. “Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten”, erklärte Josh Aas, Executive Direktor der Internet Research Group, die mit dem Betrieb der Certificate Authority beauftragt wurde, beid er Ankündigung.
“Solange es Zertifizierungsstellen gibt, die ohne Angabe von Daten und ohne jedwede Prüfung SSL-Zertifikate kostenlos ausstellen, solange werden auch Cyberkriminelle kinderleicht manipulierte Websites aufsetzen können”, beleuchtet Heutger die Kehrseite der Medaille. “Hinter der echten PayPal Website steht ein riesiges Unternehmen, das für seine Website ein EV SSL-Zertifikat von Symantec verwendet. EV steht für Extended Validation und beinhaltet eine sehr umfangreiche Prüfung des Zertifikatinhabers”, so Heutger weiter. “Auch bei der Organisations-Validierung gehen die Zertifizierungsstellen gründlich vor und schauen sich Handelsregisterauszug sowie Whois-Eintrages des Domain-Inhabers an und nehmen auch telefonisch Kontakt auf.”
Für Nutzer mit EV-Zertifikaten gesicherte Webseiten schon seit Jahren am grünen Schlosssymbol in der Browser-Leiste erkennbar. Ein Klick darauf zeigt die Inhalte des Zertifikats an, zu denen immer auch der Name des Unternehmens gehört.