CloudFlare SSL-Zertifikate für Phishing missbraucht

Der CDN-Dienst CloudFlare bietet seit geraumer Zeit SSL-Zertifikate kostenfrei an. Diese nutzen Cyberkriminelle nun aus, um täuschend echt wirkende Phishing-Websites aufzusetzen. Dienste wie CloudFlare machen es Kriminellen einfach: Nach der in Sekunden erledigten Registrierung bei dem Dienst, in der keinerlei persönliche Daten abgefragt werden, passt der Domain-Inhaber nur noch seine DNS-Einstellungen an und 24 Stunden später wird die Website mit einem von Comodo gezeichneten SSL-Zertifikat ausgestattet. In einem aktuellen Fall haben Cyberkriminelle eine Phishing-Seite erstellt, die der von PayPal täuschend ähnlich ist.

Phishing: Halbwahrheiten verwirren User

Aufgrund diverser Sicherheitsanleitungen im Web sind viele Anwender der Überzeugung, ein Schloss in der Adressleiste beweise eine nicht manipulierte, echte Webseite, auf der es keinen Anlass zur Sorge gibt. So platziert die Sparkassen-Gruppe das Schlosssymbol in der Adressleiste sogar auf Platz 1 in ihren Sicherheitstipps, während PayPal aussagt, dass mit https beginnende Seiten in aller Regel sicher seien. Wie heise.de in seiner Meldung zum Thema erläutert, verschlüsselt der „Flexible SSL“ benannte Zertifikatsdienst lediglich die Verbindung bis zu den CloudFlare-Caching-Servern. Die Kommunikation zwischen diesen und dem eigentlichen Webserver verläuft unverschlüsselt. Heise.de nennt ein Beispiel, das verdeutlicht: „Befindet sich der CloudFlare-Server in den USA, wird der Traffic also im Klartext von dort aus an den Webserver geschickt.“

Drum prüfe, was sich ewig bindet …

CloudFlare ist nicht der einzige Service, der Cyberkriminellen geradezu einlädt – wenngleich es bei anderen Anbietern ein wenig komplizierter wird, da die Registrierung umfangreicher ausfällt. Ob nun bei CloudFlare, der neuen Zertifizierungsstelle Let’s encrypt oder weiteren Anbietern: ohne eine umfangreiche Validierung, also Prüfung der Daten des Domaininhabers, wird es Kriminellen zu leicht gemacht. Bedenken Sie: PayPal ist ein riesiges Unternehmen, das für seine Website ein EV-Zertifikat von Symantec verwendet. EV steht für Extended Validation und beinhaltet eine sehr umfangreiche Prüfung des Zertifikatsinhabers. Auch bei der Organisations-Validierung wird umfangreich geprüft: ein Handelsregisterauszug, der Abgleich des Whois-Eintrages des Domain-Inhabers sowie telefonischer Kontakt vermeiden kriminelle Machenschaften. Solange es allerdings Zertifizierungsstellen gibt, die ohne Angabe von Daten und ohne jedwede Prüfung SSL-Zertifikate kostenlos ausstellen, solange werden auch Cyberkriminelle kinderleicht manipulierte Websites aufsetzen können.