Malaiische Polizei hostet Phishing-Seite

Sie fragte Paypal-Kontodaten ab. Nutzer konnten sich aufgrund des gültigen Zertifikats auf einer legitimen Log-in-Seite wähnen. Kriminelle sparen so Kosten für Hosting und Zertifikate - und hinterlassen weniger Spuren.

Auf einem Server der Polizei von Malaysia ist eine Phishing-Seite entdeckt worden. Es handelt sich um ein offizielles Internetportal für die Region Johor. Die Seite fragte Paypal-Log-in-Daten ab. Für die Anwender war der betrügerische Charakter der Oberfläche nicht leicht erkennbar, da die Site über ein gültiges SSL-Zertifikat verfügt und somit Verbindungen über HTTPS möglich waren.

cybersecurity_schmuckbild

Die Seite imitierte die Log-in-Seite von Paypal detailgenau. Das verwendete Zertifikat wurde von den meisten bekannten Browsern – darunter Firefox und Safari – bedenkenlos akzeptiert. Jeder Anwender musste das Gefühl haben, sich auf der echten Paypal-Site zu befinden – wenn er nicht genau auf die URL-Zeile achtete.

Auf das Problem hat der britische Internet-Dienstleister Netcraft hingewiesen. Ihm zufolge nutzen Kriminelle gern legitime Websites, um darauf falsche Seiten abzulegen. So könnten sie das Vertrauen in den Site-Betreiber ausnutzen. Außerdem ließen sich so Kosten für Hosting und Zertifikate umgehen. Gleichzeitig hinterließen sie weniger Spuren.

Allein im letzten Monat verzeichnete Netcraft nicht weniger als 234 Fälle, in denen sich auf Websites mit echtem SSL-Zertifikat mindestens eine Phishing-Seite fand. 67 dieser Zertifikate kamen von Symantec, darunter auch dasjenige der Polizei Johor. Von Comodo stammten 42, von GoDaddy 46. Für Netcraft erklärt Raz Popescu: „Das SSL-Zertifikat von polisjohor.gov.my wurde von GeoTrust (das zu Symantec gehört) im Jahr 2011 ausgegeben und gilt noch mehrere Monate. Wenn Symantec es zurückziehen wollte, um die Seite unzugänglich zu machen, könnte es seine Certificate Revocation List aktivieren oder per OCSP-Anwort den Rückruf kommunizieren.“

Das Zertifikat enthält allerdings keine OCSP-URL, unter der ein Browser weiterführende Informationen zu einem Zertifikat anfordern könnte. Diese Funktion gibt es seit 2005. Die meisten Zertifikate und Browser treffen die nötigen Vorkehrungen, um Veränderungen am Status eines Zertifikats in bestimmten Abständen zu prüfen. Allerdings weist Netcraft darauf hin, dass selbst Extended-Validation-Zertifikate bisweilen für Phishing-Sites genutzt werden. Im Mai 2013 beispielsweise sei man auf fünf solche Fälle gestoßen.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: E-Commerce, Netcraft, Phishing

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Malaiische Polizei hostet Phishing-Seite

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *