{"id":3300,"date":"2016-06-14T15:04:20","date_gmt":"2016-06-14T13:04:20","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=3300"},"modified":"2023-10-24T13:30:12","modified_gmt":"2023-10-24T11:30:12","slug":"kostenloses-ssl-zertifikat-fuer-phishing-missbraucht","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/kostenloses-ssl-zertifikat-fuer-phishing-missbraucht\/","title":{"rendered":"Aus dem verschl\u00fcsselten N\u00e4hk\u00e4stchen: Kostenloses SSL\/TLS-Zertifikat f\u00fcr Phishing missbraucht"},"content":{"rendered":"

Der Online-Shop-Betreiber Walter M. h\u00f6rte auf die Empfehlungen zahlreicher Gesch\u00e4ftskontakte und besorgte sich ein SSL\/TLS-Zertifikat. Leider lie\u00df sich Herr M. nicht beraten und entschied sich f\u00fcr irgendein Zertifikat \u2013 ihm war wichtig, dass die Installation einfach und der Schutz hoch ausfallen. Leider stie\u00df der Shop-Betreiber pl\u00f6tzlich auf eine nahezu perfekte Kopie seiner eigenen Page: eine Phishing-Seite fischte die pers\u00f6nlichen Daten der ahnungslosen Shop-Kunden ab. Wir berichten aus dem verschl\u00fcsselten N\u00e4hk\u00e4stchen und erkl\u00e4ren in diesem ersten Support-Fall unserer aktuellen Serie<\/a>, was Herrn M. passiert ist und wie wir ihn unterst\u00fctzen konnten.<\/p>\n

Phishing: eine Begriffserkl\u00e4rung<\/h3>\n

Verstehen Sie Phishing als betr\u00fcgerische Masche, mit der Sie als Kunde einer Internet-Organisation, beispielsweise eines Online-Shops oder Ihres Online-Bankings, dazu gebracht werden sollen, Ihre Identifikationsdaten den Cyberkriminellen preiszugeben. Bei Online-Shops k\u00f6nnen das Login-Daten sein, um Ihren Account zu \u00fcbernehmen oder Ihre pers\u00f6nlichen Daten zu verkaufen; beim Online-Banking geht es offensichtlicher um den Profit, indem Ihr Konto ger\u00e4umt wird. Als Kunde erhalten Sie in aller Regel eine E-Mail, in der Sie aufgefordert werden, einem Link zu folgen, um auf der dann erscheinenden Website Ihre Identifikationsdaten einzugeben.<\/p>\n

Phishing ist also eine Betrugsstrategie, die auf t\u00e4uschen und auf dem Wissen \u00fcber Ihr Sozialverhalten basiert. Schwachstellen in Systemen werden hier nicht ausgenutzt. Phishing ist deshalb auch so beliebt, weil die Risiken f\u00fcr die Kriminellen relativ gering und die Beute sehr hoch sein kann. Phishing-Attacken lassen sich automatisieren und brauchen einen zu anderen kriminellen Handlungen vergleichsweise geringen Zeitaufwand.<\/p>\n

Kopie des Online-Shops<\/h3>\n

Es war ein gro\u00dfer Schock f\u00fcr Herrn M., dessen Shop sich wachsender Beliebtheit erfreute, als eine seiner Stammkundinnen verwirrt anrief und sich \u00fcber eine Rechnung in H\u00f6he von 579,89 \u20ac beklagte: nie habe sie bestellt, was auf der Rechnung st\u00fcnde, nie Ware erhalten und selbstredend wolle sie den Betrag auch nicht zahlen. Beschwerdeanrufe und -E-Mails dieser Art h\u00e4uften sich. Gab es eine L\u00fccke im Bestellsystem? Einen Mitarbeiter in Lager oder Vertrieb, der bald seinen Job loswerden wollte? Herr M. verstand die Beschwerden nicht.<\/p>\n

Bis eines Tages endlich das Problem klar wurde: ein weiterer Kunde meldete sich per E-Mail beim Supportteam des Online-Shops. Er leitete eine E-Mail weiter, in der der Shop-Betreiber Walter M. ihn bat, die Zugangsdaten zu best\u00e4tigen, indem er einem Link folgte und seine Login-Daten im entsprechenden Formular eingab. Herr M. traute seinen Augen nicht: bis auf eine Winzigkeit im Logo sah die E-Mail tats\u00e4chlich aus, als habe er sie versendet \u2013 aber nie hatte er seine Kunden um Best\u00e4tigung der Login-Daten gebeten.<\/p>\n

Die Kundschaft von Herrn M. wurde zu Phishing-Opfern. Kriminelle produzierten eine E-Mail-Vorlage, die auf dem Layout des Shops basierte. Der in der E-Mail enthaltene Link f\u00fchrte zu einer URL, die von den Kriminellen eingerichtet worden war. Auch die Website sah t\u00e4uschend echt aus, besa\u00df sogar ein SSL-Zertifikat. Genau dieses sollte Herrn M. und seine sonst so zufriedenen Kunden eigentlich vor Online-Betr\u00fcgern sch\u00fctzen. Was war passiert?<\/p>\n

SSL\/TLS-zertifizierte Phishing-Websites<\/h3>\n

Herr M. ging bei der Auswahl des SSL-Zertifikats f\u00fcr seinen Shop relativ blau\u00e4ugig ans Werk \u2013 dies war seine eigene Einsch\u00e4tzung seines Handelns, als er mit unserem Support-Team sprach. Auf Beratung verzichtete er g\u00e4nzlich, er wollte einfach z\u00fcgig ein SSL-Zertifikat f\u00fcr seinen Online-Shop, um die Kundendaten zu sch\u00fctzen, aber eben auch, um Phishing zu vermeiden \u2013 er hatte viel dar\u00fcber gelesen und in seinem Shop sogar eine Warnseite eingerichtet, die Kunden das Problem n\u00e4herbringen sollte.<\/p>\n

Der Shop-Betreiber entschied sich jedoch f\u00fcr die g\u00fcnstigste L\u00f6sung: ein Zertifikat, das \u00fcber den G\u00fcltigkeitszeitraum kostenfrei verwendet wurde. \u00dcber Validierungsstufen h\u00f6rte Herr M. durch uns erstmalig. Wir pr\u00fcften das SSL\/TLS-Zertifikat seines Online-Shops und stellten fest, dass es sich dabei um ein DV-Zertifikat (domainvalidiert) handelt, das sich jeder \u2013 Betr\u00fcger wie Shop-Betreiber \u2013 binnen weniger Minuten automatisiert ausstellen lassen kann. Identifikationspr\u00fcfungen fallen hier unzureichend aus: lediglich die Domain wird gepr\u00fcft; die Zertifizierungsstelle verschickt hierf\u00fcr eine Best\u00e4tigungs-E-Mail an eine vorgegebene E-Mail-Adresse. Wird der Verifizierungslink in der Best\u00e4tigungs-E-Mail angeklickt, gibt es keine Probleme und das SSL\/TLS-Zertifikat wird ausgestellt.<\/p>\n

Dass dies eine sehr beliebte Masche ist, zeigen Beobachtungen der Sicherheitsfirma Netcraft von Ende 2015<\/a>: Betr\u00fcger beschaffen sich in gro\u00dfem Stil Zertifikate von offiziellen Zertifizierungsstellen. Diese verwenden sie, um ihre betr\u00fcgerischen Phishing-Websites m\u00f6glichst unverd\u00e4chtig erscheinen zu lassen. Die betr\u00fcgerischen Domains \u00e4hneln sehr den originalen URLs; im Falle unseres Shop-Betreibers Walter M. wurde seine Domain „https:\/\/gutes-shoppen.de“ schlichtweg ge\u00e4ndert in „https:\/\/gute-shoppen.de“. Das fehlende „s“ fiel einfach keinem auf. Netcraft stolperte bei seinen Beobachtungen Ende letzten Jahres insbesondere \u00fcber den Anbieter CloudFlare: 40 % der Phishing-Attacken im August 2015 verwendeten SSL\/TLS-Zertifikate dieses Anbieters, der bereits im Januar 2015 genau deswegen Schlagzeilen machte<\/a>.<\/p>\n

Die L\u00f6sung: H\u00f6her validierte SSL-Zertifikate<\/h3>\n

Der Grundgedanke von Walter M. war l\u00f6blich: mithilfe eines SSL\/TLS-Zertifikats wollte er Phishing vermeiden, indem er seine Identit\u00e4t best\u00e4tigen lie\u00df. Er wunderte sich bereits w\u00e4hrend des Bestellvorgangs \u00fcber die sehr kurze Pr\u00fcfung seiner Identit\u00e4t: es wurde lediglich eine E-Mail versendet und seine Bestellung mit dem Whois-Eintrag abgeglichen. Wir erkl\u00e4rten Herrn M., dass es drei Validierungsstufen gibt:<\/p>\n