Mario-HS 5 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Hallo alle zusammen, ich weiß nicht, wo dieser Post tatsächlich hingehört, aber ich wollte die Erfahrung, die ich mit einem unserer Kunden gemacht habe, mal Teilen, weil es für mich eine Premiere war. Ein Kunde hat per Google-Suche den Namen seine Bank gesucht und auf das erste Ergebnis geklickt und sich über die Bank Website zu seiner Anmeldung geklickt. Das Problem dabei war, es handelte sich um eine Phishingwebsite, die es irgendwie geschafft hat, beim Googlescore als erstes vorgeschlagen zu werden und hatte Domainzertifikat und bei Schutzmaßnahmen war ebenfalls nichts auffällig. Es gab lediglich ein minimalen Unterschied im Namen der Domain und das SSL-Zertifikat war nicht das gleiche wie von der echten Website. Selbst für einen Achtsamen Benutzer war das nicht zu erkennen. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Moin, ja, leider funktioniert das für Angreifer erschreckend gut. Daher weisen Banken auch schon seit Jahren darauf hin, dass man die Webseite der Bank nie über eine Suchmaschine aufrufen, sondern immer eintippen oder über einen Bookmark öffnen soll. Leider ist das einer der Punkte, an dem das Web und die meisten Sicherheitsmaßnahmen grundlegend kaputt sind. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Das Problem wird verschärft durch: 1. in allen modernen Browsern ist die Adressleiste keine Adressleiste sondern eine Seachbar 2. Kunden die lieber erst auf google.de gehen um dann dort dkb.de einzutippen (in die Google Search) Für manche ist da keinerlei Unterschied. Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Das kommt leider immer wieder vor. Viele Leute geben URLs nicht in der Adressleiste ein oder verwenden ein Lesezeichen, sondern suchen in Google und nehmen das erste Resultat. Nur ist dieses gekaufte Werbung. Dank Unicode kommt man sehr einfach zu einer ähnlich aussehenden Domain. "meinebank.de.irgendwas.de" ist nicht nötig, man kann direkt "meᎥnebank.de" (man beachte das "i") nehmen. Dafür bekommt man problemlos ein SSL-Zertifikat. Wie Nils schon erwähnt hat, gibt es keine Lösung dafür. Es kann helfen, auf der Firewall Verbindungen zu neu registrierten Domains zu blockieren. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 (bearbeitet) Hm, wenn einer seine Sparkasse www.spk-in-ei.de nennt, macht es die Sache auch nicht einfacher (zufällig via Google). SSL ist leide ein Kreuz. Letsencrypt hat sich auf die Fahnen geschrieben, jedem ein SSL-Zertifikat zu geben. Ob die Webseiten legalen Geschäften nachgehen, ist denen egal. Ich hatte mal probiert, dort ein Zertifikat zurückziehen zu lassen. Machen die nicht. Damit ist der andere Teil der Zertifikate für Webseiten sinnlos geworden. Man kann den eigentlichen Eigentümer der Webseite damit nicht identifizieren. EV-Zertifikate werden im Browser offenbar auch nicht mehr besonders gekennzeichnet. bearbeitet 10. August 2023 von zahni Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 vor 3 Minuten schrieb zahni: Ich hatte mal probiert, dort ein Zertifikat zurückziehen zu lassen. Machen die nicht. Ich habs nicht getestet, aber angeblich machen die das: https://letsencrypt.org/docs/revoking/ Und ja EV wird nicht mehr gekennzeichnet (früher "grün"). Stattdessen wir jetzt http als NICHT sicher = rot dargestellt und http/https aus der Leiste per Default auch noch ausgeblendet. ;) Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Moin, Letsencrypt kann man an dieser Stelle keinen Vorwurf machen, finde ich. Das ganze zugrundeliegende System von Zertifikaten ist kaputt. Da wir kein besseres haben, ist die Idee von Letsencrpyt, dann wenigstens für eine ordentliche Verbreitung von Transportverschlüsselung zu sorgen, schon okay. EV-Zertifikate funktionieren, wenn sie funktionieren, ja auch nur für Nerds, die wissen, was das ist. Eins der Dinge, die an dem System kaputt sind ... Gruß, Nils PS. wie, Trigger Warning ...? 1 Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 vor 2 Minuten schrieb NilsK: PS. wie, Trigger Warning ...? Warte, ich geb dir noch eine: Was genau ist denn daran kaputt? :p 1 Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Moin, nee, nee, so leicht kriegste mich nicht! Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 vor 2 Minuten schrieb NorbertFe: Ich habs nicht getestet, aber angeblich machen die das Wie geschrieben: Ich hatte mal vor längerer Zeit (ok, es war 2018) eine eindeutig "unerwünschte" Webseite dort gemeldet. Antwort war "Thanks for the report. Our current policy does not allow us to revoke certificates for sites suspected of engaging in phishing, distribution of malware, or other forms of fraud. We recommend reporting such sites to Google Safe Browsing and the Microsoft Smart Screen program, which are able to more effectively protect users. Here is the Google reporting URL:[...]" Vielleicht habe die es überdacht? vor 1 Minute schrieb NilsK: nee, nee, so leicht kriegste mich nicht! Wer ein Problem findet, muss Alternativen aufzeigen Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 vor 44 Minuten schrieb zahni: Wie geschrieben: Ich hatte mal vor längerer Zeit (ok, es war 2018) eine eindeutig "unerwünschte" Webseite dort gemeldet. Achso, du meinst die haben keine abuse Abteilung. Hatte ich falsch verstanden. Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Ich finde es schade, dass EV-Zertifikate ihren Status verloren haben. "Beim Online-Banking muss die Adressleiste grün sein" war auch für Laien einfach zu merken. 1 Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 10. August 2023 Melden Teilen Geschrieben 10. August 2023 Hi Ich habe die Diskussion mal ins Security-Forum verschoben, passt vom Thema her besser hierhin. VG Damian 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 11. August 2023 Melden Teilen Geschrieben 11. August 2023 vor 13 Stunden schrieb mwiederkehr: Ich finde es schade, dass EV-Zertifikate ihren Status verloren haben. Welchen Status haben sie denn gehabt? Es ging doch immer nur darum, dass die CA anhand von Dokumenten die tatsächliche Existenz des Antragstellers verifiziert. Ob er mit der angebotenen Website etwas Gutes bezweckt, könnte und würde die CA nicht prüfen. Viele haben halt ursprünglich angenommen, dass es zu aufwendig ist, fürs Phishing eine Firma anzumelden 🤣 1 Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 11. August 2023 Melden Teilen Geschrieben 11. August 2023 vor 50 Minuten schrieb cj_berlin: Viele haben halt ursprünglich angenommen, dass es zu aufwendig ist, fürs Phishing eine Firma anzumelden 🤣 Ist es das nicht? Der Aufwand ist sicher grösser, wenn man Ausweis und Handelsregisterauszug fälschen muss. Und vor allem: Die Prüfung würde durch Menschen durchgeführt. Ich hätte gehofft, die würden keine Zertifikate für Domains, deren Namen dem einer richtigen Bank ähnelt, ausstellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.