Phishing mit gültigen SSL-Zertifikaten

Nach Angaben des Internet Storm Centers (ISC) haben die Online-Betrugsversuche in den USA eine neue Qualität erreicht, um Anwendern noch überzeugendere Phishing-Seiten zu präsentieren. So wird im Artikel "Phollow the Phlopping Phish" ein Fall geschildert, bei der die Betrüger eine Domain registrierten, um Kunden der Bank Mountain America in die Falle zu locken. Nicht nur, dass die Adresse mit www.mountain-america.com relativ unverdächtig aussah (die richtige Adresse lautet www.mtnamerica.com), zudem haben die Phisher ihren Webserver mit einem gültigen SSL-Zertifikat ausgestattet.

Besucher der Seiten konnten also selbst mit einer genauen Prüfung des Zertifikates nicht feststellen, dass sie auf einer Phishing-Seite gelandet waren. Alle im Zertifikat angegebenen Daten waren scheinbar korrekt. Selbst eine zusätzliche Überprüfung der Identität über den Dienstleister ChoicePoint, nach eigenen Angaben der führende US-Dienstleister für die Überprüfung von Identitäten, bestätigte die Echtheit der Seite. Laut ChoicePoint war die Domain auf Mountain America in Salt Lake City, dem Stammsitz der Bank, registriert.

Besonders prekär: ChoicePoints Daten stammten vom Zertifikatsaussteller Equifax, einem Reseller von GeoTrust, der auch bereits das SSL-Zertifikat herausgab. Wie es zu der Fälschung kommen konnte, ist indes nicht klar. Auf Nachfrage bekam das ISC die Antwort, dass für einen Zertifikatsantrag mehrere Dokumente erforderlich seien. Unter anderem würden amtliche Belege wie Gewerbescheine, Auszüge aus Handelsregistern und dergleichen gefordert. Dass nun auch Betrüger die Prüfungsprozedur durchstanden haben, ist gerade für GeoTrust besonders peinlich. Noch im April 2005 bemängelte der Dienstleister die laschen Prüfungsprozesse vieler anderer Zertifizierungsstellen und insbesondere deren Subunternehmer und Reseller.

Damit zeigt sich einmal mehr, dass auch Zertifikate nicht der Weisheit letzter Schluss sind, um Anwender vor Betrügern zu schützen. Ein Zertifikat bindet im Regelfall ohnehin nur einen öffentlichen Schlüssel an eine Identität. Ob die dahintersteckende Person oder Firma vertrauenswürdig ist, lässt ein SSL-Zertifikat offen. Ein Dammbruch stellt der neue Fall aber nicht dar, wenn Anwender weiterhin nur die bereits bekannten Adressen ihrer Banken per Bookmark besuchen. Als zusätzliche Maßnahme sollten die Banken die Fingerprints ihrer Zertifikate veröffentlichen, damit im Zweifelsfall ein Vergleich möglich ist. Allerdings ist damit zu rechnen, dass ein großer Teil der Anwender damit überfordert sein dürfte.

Quelle: heise.de  

Schreibe einen Kommentar