Erneute Phishing-Kampagne durch kostenlose SSL-Zertifikate

Abermals ist es passiert und diesmal erwischt es Kunden der Fidor Bank: Es ging eine neue Phishing-Site online. Erfolgreich geht das nur durch schwach validierte und nicht detailliert überprüfte, kostenlose SSL-Zertifikate. In diesem Fall ging es um ISRG, dem Betreiber von Let’s Encrypt. Aufmerksame Kunden der Fidor Bank jedoch merkten den Unterschied.

Deshalb sind kostenlose SSL-Zertifikate kostenlos

Zertifizierungsstellen sind dafür zuständig, die Identität eines Zertifikate-Bestellers zu überprüfen. Es gibt verschiedene Validierungsstufen, die wir jüngst im Beitrag „Identitätsdiebstahl mit Unicode“ konkreter erklärten. Auch wir offerieren kostenfreie SSL-Zertifikate, die domainvalidiert sind, empfehlen diese jedoch ausschließlich für private Sites, die auf die Eingabe persönlicher Daten gänzlich verzichten.

Werden ausschließlich kostenlose SSL-Zertifikate ausgestellt, die domainvalidiert sind, fehlt es an der Übernahme von Verantwortung. Beispielsweise werden High Risk Certificate Requests mit Filterlisten sowie manuellen Freigaben gesondert überprüft. Das kann eine Zertifizierungsstelle, die ausschließlich kostenfreie Zertifikate ausstellt, gar nicht leisten. Kostenlose SSL-Zertifikate werden also nicht weiter geprüft, sie werden lediglich ausgestellt.

Wie kam es überhaupt zur Domainvalidierung?

Den Anfang dieser Entwicklung machte 2004 GeoTrust Europe: aus Kostengründen und Konkurrenzdruck entstand die nahezu nichtssagende Validierungsstufe „Domainvalidierung“. Die Zertifizierungsstellen versuchten, den nicht für kommerzielle Websites geschaffenen Zertifikaten durch Filterregeln und manuelle Freigaben etwas mehr Vertrauen mitzugeben. Dennoch sind die domainvalidierten SSL-Zertifikate eigentlich für die Machine-to-Machine-Kommunikation und ausschließlich für kleine, private Websites geschaffen.

Inzwischen konnten sich domainvalidierte Zertifikate in hoher Stückzahl verbreiten. Selbst kommerzielle Websites oder gar Banken machen Gebrauch davon! So ist erschreckender Weise die Login-Site von Number26 mit einem DV-Zertifikat geschützt – zum Leidwesen der Kunden. Denn ein N26-Kunde wäre im Falle einer Phishing-Kampagne aufgeschmissen.

EV-Zertifikat als Schutz

Bei der Fidor Bank war es anders als bei N26: Die Phishingsite war zwar gut gemacht und im Browser strahlte dem Besucher ein irreführendes vermeintliches „Sicher“ entgegen. Https ist jedoch nicht gleich https! Und so fiel einigen aufmerksamen Fidor Bank-Kunden die fehlende grüne Adressleiste und die ebenfalls fehlende Firmierung im Browser auf. Diese äußeren Schutzmerkmale gibt es ausschließlich bei der Extended Validation, kurz: EV.

Ein N26-Kunde hätte aufgrund des mindervalidierten SSL-Zertifikats bei einer gut gemachten Phishingsite keinen Unterschied bemerkt. Denn die Darstellung gibt keine Unterschiede her, schließlich werden Kunden auch noch mit dem im Browser stehenden „Sicher“ beschwichtigt.

Deshalb ist es so wichtig, dass Sie als Website-Besucher nicht nur blind auf https oder den „Sicher“-Hinweis des Browsers vertrauen! Achten Sie auf die grüne Adressleiste und die Angabe des Firmennamens am Beginn der Adressleiste. So können Sie die sicheren EV-Zertifikate erkennen.