SSL-Zertifizierungsstellen stellen hunderte Zertifikate für Phishing-Seiten aus
Online-Betrüger missbrauchen SSL-Zertifizierungsstellen, um sich Zertifikate für Phishing-Seiten ausstellen zu lassen, warnen Sicherheitsforscher. Schuld daran seien laxe Richtlinien der Zertifizierer.
In einem Beobachtungszeitraum von einem Monat haben sich Online-Betrüger hunderte Zertifikate für Phishing-Seiten von SSL-Zertifikatsstellen wie etwa Comodo und Symantec ausstellen lassen. Phishing-Seiten wie zum Beispiel banskfamerica.com oder itunes-security.net sollen mit den Zertifikaten vertrauenswürdiger wirken. Davor warnen die Sicherheitsforscher von Netcraft.
Schuld daran seien laxe Richtlinien der SSL-Zertifikatsstellen. In vielen Fällen müssen Betrüger nur nachweisen, dass sie die Kontrolle über eine Domain haben. Postwendend erhalten sie innerhalb weniger Minuten ein Zertifikat, erläutern die Sicherheitsforscher.
(Bild: Netcraft)
Auch die kostenlosen 90-Tage-Test-Zertifikate von Comodo seien bei Betrügern beliebt. Strenger bei der Ausstellung von SSL-Zertifikaten sind Netcraft zufolge Digicert und Entrust, da diese umfangreichere Richtlinien an den Tag legen.
Cloudflare beliebt bei Online-Betrügern
Mit 41 Prozent stellte Cloudflare die meisten SSL-Zertifikate für Phishing-Seiten im August 2015 aus, berichten die Sicherheitsforscher. Dabei setzt der Internet-Dienstleister auf eine Partnerschaft mit Comdo und Globalsign.
Cloudflare erlaubt für alle von sich gehosteten Server gratis den verschlüsselten Zugriff per SSL/TLS. Bereits Anfang dieses Jahres sorgte der Internet-Dienstleister durch das Ausstellen von Zertifikaten für Paypal-Phishing-Seiten für negative Schlagzeilen. (des)
