Paypal-Phisher missbrauchen kostenlose SSL-Zertifikate von Cloudflare
Der Caching-Dienst Cloudflare bietet seit einigen Monaten Gratis-Zertifikate per Mausklick. Jetzt sind auch die Online-Ganoven auf den Geschmack gekommen. Sie nutzen den Dienst, um täuschend echt wirkende Phishing-Sites zu erstellen.
- Ronald Eikenberg
Online-Ganoven haben eine täuschend echt gestaltete Phishing-Seite aufgesetzt, die mit einem gültigen SSL-Zertifikat ausgeliefert wird. Sie missbrauchen dabei den CDN-Dienst Cloudflare, der seinen Nutzern seit einigen Monaten kostenlose Zertifikate ausstellt.
Und das ist denkbar einfach: Die Registrierung bei Cloudflare dauert Sekunden, persönliche Daten fragt der Dienst nicht ab. Anschließend muss man beim Domain-Anbieter nur noch die DNS-Einstellungen anpassen. Innerhalb von 24 Stunden wird die Site mit einem gültigen SSL-Zertifikat ausgeliefert, das von der Zertifizierungsstelle Comodo ausgestellt wurde.
Trügerische Sicherheit
Der aktuelle Fall beweist einmal mehr, dass das Schloss-Symbol in der Adresszeile kein Indikator dafür ist, ob eine Website vertrauenswürdig ist. Wer die Sicherheitshinweise von PayPal studiert, könnte jedoch zu einem anderen Urteil kommen. Dort heißt es:
- Verschlüsselte Übertragung. Die URL von Websites, auf denen Sie persönliche Daten eingeben, sollte immer mit „https“ beginnen. Das „s“ steht für „secure“ (= sicher). Wenn „https“ nicht enthalten ist, handelt es sich um eine nicht geschützte Verbindung. Geben Sie keine Daten ein.
- Falsch platziertes Schlosssymbol. Vergewissern Sie sich, dass in der Statusleiste am unteren Rand des Browserfensters ein Schlosssymbol angezeigt wird. Auf vielen gefälschten Websites wird dieses Symbol innerhalb des Fensters angezeigt, um Sie zu täuschen.
Bei der Sparkasse – und vermutlich bei vielen anderen Banken – steht das Schloss-Symbol sogar ganz oben auf der Liste der Tipps, die helfen sollen, Phishing-Seiten zu identifizieren:
Eindeutige Erkennungsmerkmale von Phishing
Um sich vor Phishing zu schützen achten Sie auch auf das Schloss-Symbol im Browser in der Adressleiste. Banking-Seiten sind immer verschlüsselt, was Sie auch im Adressfeld erkennen können, wo in der URL https:// statt http:// angezeigt wird.
UNSERE SICHERHEITSTIPPS GEGEN PHISHING:
- Achten Sie auf das Schloss-Symbol im Browser
- Kontrollieren Sie die Verschlüsselung der URL (https:// statt nur http://)
- Geben Sie die Internet-Adresse Ihrer Sparkasse immer selbst ein
- Prüfen Sie die Echtheit der Website (Zertifikat)
Nur halb verschlüsselt
Der "Flexible SSL" getaufte Zertifikatsdienst von Cloudflare ist nicht unumstritten: Durch die gültigen Zertifikate entsteht bei den Website-Besuchern der Eindruck, dass die Verbindung zum genutzten Dienst verschlüsselt ist. Tatsächlich ist aber nur die Verbindung bis zu dem Caching-Servern von Cloudflare verschlüsselt. Diese kommunizieren bei Flexible SSL unverschlüsselt mit dem eigentlichen Webserver. Befindet sich der Cloudflare-Server in den USA, wird der Traffic also im Klartext von dort aus an den Webserver geschickt.
Ihr Vorhaben hätten die Phisher allerdings auch ohne Cloudflare umsetzen können: Mit etwas höherem Aufwand hätten Sie das Zertifikat auch bei anderen Herausgebern bekommen. In der Regel überprüfen diese nur, ob man tatsächlich die Kontrolle über die Domain hat. Die Nutzung von Cloudflare hat für die Ganoven jedoch den Vorteil, dass die Seite auch noch auf den Caching-Servern des Unternehmens zwischengespeichert wird und so auch unter großer Besucherlast gut erreichbar bleibt. (rei)
