Dr.Melzer 191 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 Anscheinend haben die Phisher dazugelernt und versuchen inzwischen sich mit digitalen Zertifikaten den Anstrich der Seriösität zu geben: Sicherheitsexperten haben vor einem neuen Phishing-Trick gewarnt. Nach Angaben des Unternehmens SurfControl setzen Betrüger jetzt digitale Zertifikate ein, um Anwender zur Herausgabe vertraulicher Daten zu veranlassen. Die Firma nannte dieses Vorgehen 'Secured Phishing'. Digitale Zertifikate werden von verschiedenen Sites - etwa von Banken - ausgegeben und auch innerhalb von Unternehmen eingesetzt. Ruft ein Anwender eine Site mit einem Zertifkat auf, ploppt ein Fenster auf. Der Nutzer muss bestätigen, dass er dem Angebot vertraut und fortfahren möchte. Besonders bei bekannten Sites erledigen das viele Anwender routinemäßig, ohne weitere Informationen zu den Zertifikaten abzurufen. In Browsern wie Firefox und dem Internet Explorer sind bestimmte Sites zudem als 'vertrauenswürdig' voreingestellt. Im Fall, von dem SurfControl berichtete, schickten die Betrüger eine E-Mail mit einem Link zu einer gefälschten Site. Die Anwender wurden aufgefordert, Kontodaten zu aktualisieren. Die Phishing-Site kam im 'https'-Look daher und zeigte das 'Vorhängeschloss'-Symbol für besonders gesicherte Verbindungen an. Zudem wurde dem Anwender ein Zertifikat angeboten. Dieses haben sicher nur wenige Anwender näher untersucht, sagte Susan Larson, SurfControl Vice President, dem Branchendienst TechWeb. Viele seien es gewöhnt, in diesen Fällen einfach auf 'Ja' zu klicken. Die Site sei mittlerweile wieder vom Netz. Die Phishing-Taktik könne jedoch Schule machen, so Larson. Quelle Silicon.de Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 Digitale Zertifikate sollen ja dem User die Gewissheit geben, dass er sich auf dem richtigen Server befindet. Dummerweise ist es aber für jeden möglich ein eigenes Zertifikat zu bauen und dieses an Server zu pappen. Meines Erachtens gibt es aber nur einen Weg, die Sache als Serverbetreiber - auch zum Schutz der Kunden - richtig zu machen: Ein von einer Root-CA bestätigtes "echtes/richtiges" Zertifikat. Denn bei diesen Zertifikaten ploppt zunächst mal nichts auf, den es ist ja nachweislich echt. Das wäre also der segensreiche Teil der Zertifikate. Allerdings hat die Sache einen Haken: Es kostet meist mehr oder weniger viel Geld. Das will aber kaum jemand ausgeben. Insofern beginnt der Fluch damit, das sich nicht alle Unternehmen an einen ordentlichen Zertifikatsweg halten können (Geld?) oder wollen (phishing?). Die Fälschung von Zertifikaten nochmal aussen vor gelassen, sollte bei den Betreibern von Webservern Aufklärung betrieben werden, was tatsächlich hnter einem "echten" Zertifikat steckt. Ein Beispiel aus eigener Erfahrung: Telekom-Zertifikat auf dem Webserver, einmalige Kosten knapp 100 Euro, das 1 Jahr gültige Zertifikat ca. 150 Euro, jede weitere Verlängerung für knapp die Hälfte. dazu kommt der beglaubigte Auszug aus dem Handelsregister, denn schließlich muss ja überprüft werden, ob der Installateur des Zertifikats auch derjenige ist, der er vorgibt zu sein. Vorteil: Keine zwielichtigen Popups des Browsers, Nachweisbarkeit der Echtheit, berechtigt "sicheres" Gefühl bei Usern. Warum ist es nicht möglich, die Webserver mit "richtigen" Zertifikaten auszustatten?? Wäre es so, könnte man die Sicherheitsfrage schnell klären: Alles was im Browser zertifikatsmäßig aufpoppt ist gefährlich. Weil alle anderen Zertifikate ja via Root-CA bestätigt sind. Schade eigentlich, aber gut zu wissen, das phishing sich auch weiter entwickelt :( grüße dippas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.