Ausgabe von SSL-Zertifikaten an Cyberkriminelle

Der britische Sicherheitsanbieter Netcraft weist darauf hin, dass Certificate Authorities zuletzt in einem Monat Hunderte SSL-Zertifikate für Domains ausgestellt haben, die offensichtlich nur für Betrugsversuche registriert wurden. Ziel sei, beispielsweise die Glaubwürdigkeit von Phishing-Websites zu steigern. Betroffen sind unter anderem die Zertifizierungsstellen Comodo, Symantec und GoDaddy.

Comodo habe ein Zertifikat für die Domain „banskofamerica.com“ ausgestellt, Symantec für „ssl-paypai-inc.com“ und „itunes-security-net“ sowie GoDaddy für „paypwil.com“. Obwohl sich die Branche verpflichtet habe, Anfragen auf mögliche Risiken genau zu prüfen, schlüpften einige Betrüger doch immer wieder „durchs Netz“, so Netcraft weiter.

Als Hauptquelle der „betrügerischen“ Zertifikate hat NetCraft das Content Delivery Network CloudFlare ausgemacht. Es soll 39 Prozent der SSL-Zertifikate ausgestellt haben, die im August für Phishing-Angriffe mit irreführenden Websites benutzt wurden. Ein Vorteil von CloudFlares „Universal SSL“ ist demnach, dass die Angreifer SSL nicht für ihre eigenen Webserver einrichten müssen.

Websites, die per SSL beziehungsweise TLS verschlüsselt wurden, nehmen Verbraucher NetCraft zufolge als besonders vertrauenswürdig wahr. Das werde auch durch das von den meisten Browsern der URL vorangestellte Schlüsselsymbol unterstützt. Für Verbraucher bedeute es auch, dass eine Seite, die nach einem Passwort oder einer Kreditkartennummer frage, von einer legitimen Organisation betrieben werde.

NetCraft kritisiert auch, dass einige Anbieter Zertifikate mit einer begrenzten Laufzeit von 30 oder 90 Tagen kostenlos ausstellen. „Die kurzen Gültigkeitszeiträume sind ideal für Betrüger, da Phishing-Angriffe normalerweise nur eine kurze Laufzeit haben“, teilt NetCraft mit.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Zudem würden Zertifikate der Stufe „Domain validated“, bei der nur die Echtheit der Domain geprüft wird, oftmals automatisch in wenigen Minuten erteilt – und entgegen den Branchenregeln ohne jegliche Kontrollen. Das mache es Betrügern besonders leicht, Zertifikate für irreführende Domains zu erhalten.

Browser warnen Nutzer in der Regel, wenn ein Zertifikat einer Website abgelaufen ist, nicht richtig implementiert wurde oder nicht zur aufgerufenen Domain passt. Wurde eine irreführende Website wie „pay-pal.co.com“ allerdings korrekt zertifiziert, zeigt ein Browser dasselbe grüne Schlüsselsymbol an wie beim Aufruf von „paypal.com“, der offiziellen Seite des Bezahldienstleisters. In dem Fall kann ein Betrugsversuch – je nach Qualität einer Phishing-Website – nur durch einen genauen Blick auf die URL identifiziert werden.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago