HTTPS schützt nicht vor Phishing-Sites

Originalartikel von Paul Pajares, Fraud Analyst

Kürzlich wurde darüber berichtet, dass Google das Ranking der Suchläufe nach HTTPS-Sites verbessern wolle. Diese Nachricht mag Website-Betreiber dazu bewegen, von HTTP auf HTTPS umzusteigen. Cyberkriminelle nutzen jedoch diese Änderung ebenfalls aus. Beispielsweise gab es bereits den Fall, dass ein Nutzer bei der Suche nach der sicheren Version einer Spiele-Site auf eine Phishing-Site umgeleitet wurde.
Die Analyse von Phishing-Sites, die HTTPS verwenden und durch die Trend Micro Webreputationstechnoloige geblockt wurden, ergab für den Zeitraum 2010 – 2014 einen deutlichen Anstieg.


Bild 1. Zahl der HTTPS Phishing-Sites von 2010 bis 2014

Dieser Anstieg ist unter anderem der Tatsache geschuldet, dass Cyberkriminelle ziemlich einfach Websites erstellen können, die HTTPS nutzen: Entweder kompromittieren sie Sites, die bereits HTTPS verwenden, oder sie nutzen legitime Hosting-Sites, die HTTPS einsetzen. Cyberkriminelle haben keinen Grund, ihre eigenen SSL-Zertifikate zu erwerben, da sie Server missbrauchen, die bereits valide Zertifikate besitzen.

Diese Methoden nutzen sie auch beim mobilen Phishing. So entdeckten die Bedrohungsforscher eine Paypal Phishing-Seite mit HTTPS und gültigen Zertifikaten. Die gefälschte Seite wird auf einer legitimen Site gehostet, die anscheinend kompromittiert wurde.

Um festzustellen, ob eine bestimmte Site für Phishing missbraucht wird, müssen Nutzer die Gültigkeit des Zertifikats prüfen und nach einem Namen suchen, der üblicherweise derselbe ist wie der Domänennamen. Im vorliegenden Screeshot mobile.paypal.com ist der allgemeine Name und der der Organisation Paypal Inc., während das Zertifikat der Phishing-Site diese Merkmale nicht aufweist.


Bild 2 und 3. Screenshots einer legitimaten Site (links) und einer Phishing Site (rechts)

Galt bisher die Empfehlung für mobile Nutzer, vor der Eingabe persönlicher Informationen in der Adresszeile auf „HTTPS“ und den Icon mit dem Schloss zu achten, so reicht dies bei dem kürzlich erfolgten Phishing-Angriff nicht aus. Manche mobile Browser zeigen nicht zwangsläufig das SSL-Schloss an. Beispielsweise wird zwar im mobilen Windows Browser der Schloss-Icon angezeigt, doch können ihn Nutzer nicht anklicken, um die Zertifikatsdetails zu sehen.

Daher empfiehlt es sich, über eine Suchmaschine zu prüfen, ob sich der Nutzer tatsächlich auf derselben URL der Firmen-Site befindet. Sucht er beispielsweise PayPal mit einer Suchmaschine, so muss die gefundene URL mit der, auf der sich der Nutzer befindet, identisch sein. Anderenfalls handelt es sich um eine Phishing-Seite. Auch wird die legitime Site von bekannten Banken oder Finanzinstituten immer als Top-Ergebnis erscheinen.

In einem nächsten Schritt sollte die Gültigkeit des Zertifikats geprüft werden. Kompromittierte HTTPS-Sites mögen gültige Zertifikate haben, doch die Details, wie oben beschrieben, müssen ebenfalls stimmen. Auch wenn einige Sites ein grün eingefärbter Icon-Teil in der Adresszeile als Sicherheitsindikator haben, so sollte dennoch der allgemeine Namen und der der Organisation abgeglichen werden. Wird dieser grüne Balken angeklickt, so erscheint ein Fenster, wo der Nutzer die Details prüfen kann.


Bild 4. Check des grünen Icon-Balkens und des Domänennamens, um festzustellen, ob die Site legitim ist

Auf der Grundlage der Daten aus dem Smart Protection Network, sind folgende Länder von HTTPS Phishing-Sites am meisten betroffen:

Bild 5. Die meisten betroffenen Länder

Trend Micro schützt die Anwender vor Phishing-Sites, indem die gefälschten Sites über das Smart Protection Network geblockt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*