CloudFlare SSL-Zertifikate für Phishing missbraucht CloudFlare SSL-Zertifikate für Phishing missbraucht - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.01.2015 pi/Rudolf Felser

CloudFlare SSL-Zertifikate für Phishing missbraucht

Cyberkriminelle missbrauchen kostenlose SSL-Zertifikate, um ihren Websites den Anschein der Seriösität zu geben, warnt die PSW GROUP.

Christian Heutger, Geschäftsführer PSW GROUP

Christian Heutger, Geschäftsführer PSW GROUP

© PSW GROUP

Der CDN-Dienst CloudFlare bietet seit geraumer Zeit SSL-Zertifikate kostenfrei an. Nun missbrauchten Cyberkriminelle den Dienst, indem sie eine täuschend echt wirkende Phishing-Webseite aufgesetzt haben, die mit gültigem SSL-Zertifikat ausgeliefert wird, warnen die IT-Security Experten der PSW GROUP. In einem aktuellen Fall haben Cyberkriminelle eine Phishing-Seite erstellt, die der von PayPal täuschend ähnlich ist. "Dienste wie CloudFlare machen es Kriminellen aber auch zu einfach: Nach der in Sekunden bei dem Dienst abgeschlossenen Registrierung, in der keinerlei persönliche Daten des Domaininhabers abgefragt werden, passt dieser nur noch seine DNS-Einstellungen an. 24 Stunden später wird die Webseite mit einem von Comodo gezeichneten SSL-Zertifikat ausgestattet", informiert Christian Heutger, Geschäftsführer der PSW GROUP.

CloudFlare ist allerdings nicht der einzige Service, der nach Meinung des IT-Sicherheitsexperten Cyberkriminelle geradezu einlädt. Ob nun bei CloudFlare, der neuen Zertifizierungsstelle Let’s encrypt oder weiteren Anbietern: Ohne eine umfangreiche Validierung, also Prüfung der Daten des Domaininhabers, wird es Kriminellen zu leicht gemacht. "Hinter der echten PayPal Website steht ein riesiges Unternehmen, das für seine Website ein EV SSL-Zertifikat von Symantec verwendet. EV steht für Extended Validation und beinhaltet eine sehr umfangreiche Prüfung des Zertifikatinhabers", verdeutlicht Christian Heutger am aktuellen Fall den Unterschied zum gewöhnlichen SSL-Zertifikat. Erkennbar für Nutzer sind mit EV-Zertifikaten gesicherte Webseiten am grünen Schlosssymbol in der Browser-Leiste. Nach Klick auf das Symbol werden die Inhalte des Zertifikats, unter anderem der Name des Unternehmens, angegeben.

Auch bei der Organisations-Validierung prüfen die Zertifizierungsstellen übrigens ausführlich: Ein Handelsregisterauszug, der Abgleich des Whois-Eintrages des Domain-Inhabers sowie telefonischer Kontakt vermeiden kriminelle Machenschaften. "Solange es allerdings Zertifizierungsstellen gibt, die ohne Angabe von Daten und ohne jedwede Prüfung SSL-Zertifikate kostenlos ausstellen, solange werden auch Cyberkriminelle kinderleicht manipulierte Websites aufsetzen können", so Heutger. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 1 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: