Missbrauch von SSL-Zertifizierungsstellen

Vorsicht: Phishing-Webseiten werden gefährlicher

Vorsicht: Cyberkriminelle, die Phishing betreiben, missbrauchen SSL-Zertifizierungsstellen. Damit lassen sie ihre Webseiten sicherer erscheinen.

SIEM-Lösungen gegen Sicherheitslücken

© Nmedia - Fotolia.com

Das Internet ist ein riesiger Spielplatz für Cyberkriminelle. Seien Sie sich der Gefahren bewusst!

Aktuelle Antiviren-Software wehrt Phishing-Angriffe spätestens dann ab, wenn Nutzer auf entsprechende Webseiten klicken. Sicherheitszertifikate, die eine eindeutige Identifikation seriöser Anbieter erlauben, fehlen in der Regel auf präparierten Webseiten. Doch ein aktuell dokumentierter Missbrauch von Zertifizierungsstellen könnte diese Mauer bald löchriger machen und ein vermehrtes Aufkommen von erfolgreichen Phishing-Attacken bedeuten.

Die britische Sicherheitsfirma Netcraft hat festgestellt, dass verschiedene Zertifizierungsstellen allein im August 2015 Hunderte von Zertifikaten an Webseiten-Betreiber ausgestellt haben, die deren Phishing-Webseiten in Browsern seriös aussehen lassen. Gängige Internet-Browser zeigen beim Besuch von entsprechenden Webseiten dann fälschlicherweise ein Symbol vor der URL an, das eine gesicherte und somit vertrauenswürdige Verbindung vortäuscht.

In Acht nehmen sollten sich Internetnutzer laut Netcraft unter anderem vor Adressen wie banskfamerica.com, ssl-paypal-inc.com oder paypwil.com. Das sind Domains, die offensichtlich an reale Vorbilder wie die Bank of America oder den Online-Bezahldienstleister Paypal angelehnt sind und Nutzer täuschen sollen. Die Betrüger haben dabei vorrangig angeblich weniger strenge Zertifizierungsstellen wie CloudFare, Comodo, Symantec oder GoDaddy im Fokus. Bei den genannten Anbietern reiche es teilweise für die Cyberkriminellen, lediglich nachweisen zu können, Besitzer einer Domain zu sein. Anbieter wie Digicert oder Entrust würden härtere Richtlinien haben, die eine Webseite und ein Anbieter erfüllen müssen, um ein Sicherheitszertifikat zu erhalten.

Lesetipp: Phishing-Mails erkennen

Die Nachricht bedeutet für Internetnutzer, bei E-Mails künftig genauer schauen zu müssen und sich nicht nur auf Sicherheits-Software verlassen zu können. Klicken Sie in E-Mails vorgeblich seriöser Anbieter niemals auf angegebene Links. Stattdessen rufen Sie entsprechende Webseiten lieber händisch im Browser auf. Das betrifft nicht nur Spam-Mails, sondern auch Nachrichten in Messengern und sozialen Netzwerken.

Mehr zum Thema

Wir zeigen, wie Sie Tracking mit Facebook-Buttons im Web unterbinden.
Like-Hijacking

Viele Facebook-Nutzer vergeben automatische Likes. Was dahinter steckt und wie Sie dies verhindern, verraten wir in dieser Meldung.
Windows Updates im September 2016
Patch Day

Der Patch Day September 2016 ist da und Microsoft bringt kritische wie wichtige Sicherheitsupdates für Windows, den integrierten Flash-Player, Office…
iTunes Update 1
Sicherheit

Apple behebt kritische iTunes- und iCloud-Sicherheitslücken mit Updates. Das BSI rät den Nutzern, die Updates rasch zu installieren.
WhatsApp
Nach Widerspruch

Nachdem Nutzer den neuen WhatsApp-AGB widersprochen haben, lässt sich der Account nicht mehr löschen. Dafür hätten sie den AGB umstrittenerweise…
WhatsApp-Logo
Messenger-Sicherheit

Schnell an einer Umfrage teilnehmen und umsonst mit Emirates fliegen? Lieber nicht. WhatsApp-Nutzern droht eine neue Betrugsfalle, die ins Geld geht.