Im Verlauf des letzten Jahres wurden Phishing-Mails und die dazugehörenden Webseiten qualitativ besser, jedoch konnte anhand der im Browser angezeigten falschen Adresse und des fehlenden „Schlosssymbols“ in der Statuszeile, als Zeichen einer  authentischen und verschlüsselten (SSL-)Verbindung, in der Regel auf eine gefälschte Seite schließen.

Seit dem letzten Wochenende ist auch dieser Mechanismus in das Visier der Phisher geraten!

Am  Wochenende erreichte die A-I3 eine Phishing-Mail, die Paypal Nutzer unter dem Betreff „We belive that your account was hijacked by a third party without your authorization“ aufforderte, ihre Nutzerdaten auf der Webseite von Paypal zu aktualisieren (vgl. Phishing-Archiv der A-I3). Der in der E-Mail angeführte Link führte nicht zu Paypal, sondern zu einer unbekannten IP Adresse.

Bis hier hin handelte es sich um einen gewöhnlichen Phishing-Angriff. Beim Aufruf der Webseite zeigte  sich  allerdings, dass diese Phishing-Mail die erste (in Deutschland) ist, die den Benutzer auf eine gefälschte und zugleich SSL-gesicherte Seite (siehe Abbildung unten) leitet! 

Beim Aufruf der Webseite zeigt der Browser die Warnung (rot markiert), dass die Authentizität der Webseite nicht erfolgreich verifiziert werden konnte. Genauer, der Herausgeber des Zertifikats ist unbekannt und das Zertifikat wird als vertrauensunwürdig eingestuft (z.B. weil es selbst-zertifiziert wurde).

A-I3 weißt darauf hin, dass bei Zertifikaten ihrer Banken eine derartige Warnung nicht auftreten wird, weil diese Zertifikate von vertrauenswürdigen Autoritäten ausgegeben werden, die ihr Browser kennt. Digitale Zertifikate, welche von vertrauenswürdigen Autoritäten ausgestellt werden, unterliegen einer strengen Kontrolle, um die Echtheit des Zertifikates zu gewähren. Daher ist ein digitales Zertifikat mit einem Personalausweis vergleichbar, der fälschungssicher ist und die Echtheit des Besitzers bekundet.

Fazit:
Durch die angezeigte URL in der Adresszeile und der SSL-Warnung beim Aufruf der Phishing-Seite wurde deutlich, dass es sich hierbei nicht um eine offizielle Seite von Paypal handelt, sondern um eine Fälschung! Zusätzlich sind Teile des Seiteninhalts nicht auf dem lokalen, sondern auf dem original Paypal-Server gespeichert.
Auch das wird durch den Webbrowser erkannt und dem Benutzer gemeldet, indem sich die Adresszeile rot färbt und ein durchgestrichenes Schlosssymbol (im Mozilla Firefox) oder eine weitere Warnung über „unsichere Objekte auf einer gesicherten Seite“ (Internet Explorer) anzeigt.

Auch wenn die gefälschte Seite die genannten Schwächen aufweist, ist es nur noch eine Frage der Zeit, bis Phisher die Illusion gefälschter Webseiten von  Banken oder Auktionshäusern perfektionieren.

Daher weisen wir erneut darauf hin, dass die Visualisierung des Schlosssymbols im Browser allein keinen Schutz vor Phishing oder Pharming bietet!

Daher…

• Installieren sie aktuelle Sicherheitsupdates für den Browser (Schritt 1)
• Anschließend kontrollieren Sie die Zertifikatsinformationen indem Sie auf das Schlosssymbol klicken (Schritt 2):
• Prüfen Sie ob der Herausgeber des Zertifikats Ihrem Webbrowser bekannt ist
• Überzeugen Sie sich, dass der Inhaber des Zertifikats auch der Inhaber der Seite (z.B. ihrer Bank) ist
• Achten Sie auf die Gültigkeit des Zertifikates
• Seien Sie besonders skeptisch, wenn Ihr Browser eine SSL Warnung angezeigt

A-I3
Bochum, den 19.10.05

Hinweis: Screenshots der Mail und die der gefälschten Webseite finden Sie in unserem Phishing-Archiv