Aus dem verschlüsselten Nähkästchen: Kostenloses SSL/TLS-Zertifikat für Phishing missbraucht

Der Online-Shop-Betreiber Walter M. hörte auf die Empfehlungen zahlreicher Geschäftskontakte und besorgte sich ein SSL/TLS-Zertifikat. Leider ließ sich Herr M. nicht beraten und entschied sich für irgendein Zertifikat – ihm war wichtig, dass die Installation einfach und der Schutz hoch ausfallen. Leider stieß der Shop-Betreiber plötzlich auf eine nahezu perfekte Kopie seiner eigenen Page: eine Phishing-Seite fischte die persönlichen Daten der ahnungslosen Shop-Kunden ab. Wir berichten aus dem verschlüsselten Nähkästchen und erklären in diesem ersten Support-Fall unserer aktuellen Serie, was Herrn M. passiert ist und wie wir ihn unterstützen konnten.

Phishing: eine Begriffserklärung

Verstehen Sie Phishing als betrügerische Masche, mit der Sie als Kunde einer Internet-Organisation, beispielsweise eines Online-Shops oder Ihres Online-Bankings, dazu gebracht werden sollen, Ihre Identifikationsdaten den Cyberkriminellen preiszugeben. Bei Online-Shops können das Login-Daten sein, um Ihren Account zu übernehmen oder Ihre persönlichen Daten zu verkaufen; beim Online-Banking geht es offensichtlicher um den Profit, indem Ihr Konto geräumt wird. Als Kunde erhalten Sie in aller Regel eine E-Mail, in der Sie aufgefordert werden, einem Link zu folgen, um auf der dann erscheinenden Website Ihre Identifikationsdaten einzugeben.

Phishing ist also eine Betrugsstrategie, die auf täuschen und auf dem Wissen über Ihr Sozialverhalten basiert. Schwachstellen in Systemen werden hier nicht ausgenutzt. Phishing ist deshalb auch so beliebt, weil die Risiken für die Kriminellen relativ gering und die Beute sehr hoch sein kann. Phishing-Attacken lassen sich automatisieren und brauchen einen zu anderen kriminellen Handlungen vergleichsweise geringen Zeitaufwand.

Kopie des Online-Shops

Es war ein großer Schock für Herrn M., dessen Shop sich wachsender Beliebtheit erfreute, als eine seiner Stammkundinnen verwirrt anrief und sich über eine Rechnung in Höhe von 579,89 € beklagte: nie habe sie bestellt, was auf der Rechnung stünde, nie Ware erhalten und selbstredend wolle sie den Betrag auch nicht zahlen. Beschwerdeanrufe und -E-Mails dieser Art häuften sich. Gab es eine Lücke im Bestellsystem? Einen Mitarbeiter in Lager oder Vertrieb, der bald seinen Job loswerden wollte? Herr M. verstand die Beschwerden nicht.

Bis eines Tages endlich das Problem klar wurde: ein weiterer Kunde meldete sich per E-Mail beim Supportteam des Online-Shops. Er leitete eine E-Mail weiter, in der der Shop-Betreiber Walter M. ihn bat, die Zugangsdaten zu bestätigen, indem er einem Link folgte und seine Login-Daten im entsprechenden Formular eingab. Herr M. traute seinen Augen nicht: bis auf eine Winzigkeit im Logo sah die E-Mail tatsächlich aus, als habe er sie versendet – aber nie hatte er seine Kunden um Bestätigung der Login-Daten gebeten.

Die Kundschaft von Herrn M. wurde zu Phishing-Opfern. Kriminelle produzierten eine E-Mail-Vorlage, die auf dem Layout des Shops basierte. Der in der E-Mail enthaltene Link führte zu einer URL, die von den Kriminellen eingerichtet worden war. Auch die Website sah täuschend echt aus, besaß sogar ein SSL-Zertifikat. Genau dieses sollte Herrn M. und seine sonst so zufriedenen Kunden eigentlich vor Online-Betrügern schützen. Was war passiert?

SSL/TLS-zertifizierte Phishing-Websites

Herr M. ging bei der Auswahl des SSL-Zertifikats für seinen Shop relativ blauäugig ans Werk – dies war seine eigene Einschätzung seines Handelns, als er mit unserem Support-Team sprach. Auf Beratung verzichtete er gänzlich, er wollte einfach zügig ein SSL-Zertifikat für seinen Online-Shop, um die Kundendaten zu schützen, aber eben auch, um Phishing zu vermeiden – er hatte viel darüber gelesen und in seinem Shop sogar eine Warnseite eingerichtet, die Kunden das Problem näherbringen sollte.

Der Shop-Betreiber entschied sich jedoch für die günstigste Lösung: ein Zertifikat, das über den Gültigkeitszeitraum kostenfrei verwendet wurde. Über Validierungsstufen hörte Herr M. durch uns erstmalig. Wir prüften das SSL/TLS-Zertifikat seines Online-Shops und stellten fest, dass es sich dabei um ein DV-Zertifikat (domainvalidiert) handelt, das sich jeder – Betrüger wie Shop-Betreiber – binnen weniger Minuten automatisiert ausstellen lassen kann. Identifikationsprüfungen fallen hier unzureichend aus: lediglich die Domain wird geprüft; die Zertifizierungsstelle verschickt hierfür eine Bestätigungs-E-Mail an eine vorgegebene E-Mail-Adresse. Wird der Verifizierungslink in der Bestätigungs-E-Mail angeklickt, gibt es keine Probleme und das SSL/TLS-Zertifikat wird ausgestellt.

Dass dies eine sehr beliebte Masche ist, zeigen Beobachtungen der Sicherheitsfirma Netcraft von Ende 2015: Betrüger beschaffen sich in großem Stil Zertifikate von offiziellen Zertifizierungsstellen. Diese verwenden sie, um ihre betrügerischen Phishing-Websites möglichst unverdächtig erscheinen zu lassen. Die betrügerischen Domains ähneln sehr den originalen URLs; im Falle unseres Shop-Betreibers Walter M. wurde seine Domain „https://gutes-shoppen.de“ schlichtweg geändert in „https://gute-shoppen.de“. Das fehlende „s“ fiel einfach keinem auf. Netcraft stolperte bei seinen Beobachtungen Ende letzten Jahres insbesondere über den Anbieter CloudFlare: 40 % der Phishing-Attacken im August 2015 verwendeten SSL/TLS-Zertifikate dieses Anbieters, der bereits im Januar 2015 genau deswegen Schlagzeilen machte.

Die Lösung: Höher validierte SSL-Zertifikate

Der Grundgedanke von Walter M. war löblich: mithilfe eines SSL/TLS-Zertifikats wollte er Phishing vermeiden, indem er seine Identität bestätigen ließ. Er wunderte sich bereits während des Bestellvorgangs über die sehr kurze Prüfung seiner Identität: es wurde lediglich eine E-Mail versendet und seine Bestellung mit dem Whois-Eintrag abgeglichen. Wir erklärten Herrn M., dass es drei Validierungsstufen gibt:

• Domainvalidierte (DV) SSL/TLS-Zertifikate eignen sich für Non-profit-Projekte wie etwa private Weblogs. Die Validierung erfolgt wie bereits beschrieben.
• Organisationsvalidierte (OV) SSL/TLS-Zertifikate eignen sich für Firmen-Sites und Online-Shops, aber auch für private Sites, wenn hier persönliche Daten wie E-Mail-Adressen eingegeben werden. Dies ist die Mindest-Validierungsstufe, die wir für Firmenpages und Online-Shops empfehlen. Neben der Prüfung des Whois-Eintrags schauen sich die Zertifizierungsstellen auch den Handelsregisterauszug an und nehmen telefonisch Kontakt zum Besteller auf. Erst ab hier kann also von einer Identifikation die Rede sein.
• Extended Validation (EV) Zertifikate sind ideal für alle Sites, auf denen sensible Daten eingegeben werden: Banking-Sites nutzen EV-Zertifikate genauso wie viele Online-Shops, aber beispielsweise auch Social Networks. Nutzer erkennen diese höchste Validierungsstufe kinderleicht an der grünen Adressleiste. Die Prüfung durch die Zertifizierungsstelle fällt sehr umfangreich aus, neben den bei OV genannten Prüfungen können hier zusätzliche Dokumente fällig werden, die der Identifikation dienen. Pflicht ist es in jedem Fall, in einem öffentlichen Register (z. B. Handelsregister) auffindbar zu sein.

Herr M. brauchte gar nicht mehr lange nachzudenken: er entschied sich für ein EV-Zertifikat, um seinen Kunden schon auf den ersten Blick zu ermöglichen, die Echtheit seines Shops durch die grüne Adressleiste bestätigt zu wissen. „Hätte ich doch gleich eine Beratung genutzt, das wäre insgesamt wesentlich günstiger gewesen“, stand für Herrn M. später fest.

Am falschen Ende gespart

Im weiteren Gespräch gab Herr M. zu, dass er die Preisunterschiede bei den Zertifikaten natürlich bemerkt hat. Ihm schien es sinnlos, 199 Euro pro Jahr für ein EV-Zertifikat auszugeben, wo er doch auch kostenlose SSL-Zertifikate nutzen könnte. Dass die Rechnung nicht aufging, ist im Nachhinein klar:

• mehrere tausend Euro Schaden entstanden durch Bestellungen im Namen verschiedener Kunden, die jedoch nie selbst bestellt hatten: mit Identifikationsdiebstahl shoppten sich die Betrüger munter durch Herrn. M.s Angebot.
• ein nicht zu beziffernder Imageschaden wiegt jedoch noch schwerer: viele der Betrugsopfer haben sich vom Shop von Herrn M. abgewendet und kaufen nun bei der Konkurrenz. Im Internet finden sich viele negative Bewertungen. Herr M. muss nun viel Geld in Marketing investieren, um sein angekratztes Image aufzupolieren.
• als erste Wiedergutmachungs-Maßnahme verschenkte Herr M. Gutscheine an geschädigte Kunden. Einige seiner Kunden, insbesondere seine seit Jahren treue Stammkundschaft, konnte dies versöhnen, aber für Herrn M. war das eine sehr teure Versöhnung. Er stellte Gutscheine im Wert von mehreren hundert Euro aus.

Beratung vermeidet Online-Kriminalität

Aus seiner Sicht ist es verständlich, dass Herr M. am falschen Ende gespart hat: viele seiner Kontakte rieten ihm zum kostenlosen SSL/TLS-Zertifikat, die grüne Adressleiste wurde als „Spinnerei“ abgetan, um Interessenten das Geld aus der Tasche zu ziehen. Über die Validierung machten sich die Kontakte von Herrn M., aber auch er selbst keine Gedanken. Herr M. überarbeitete die Phishing-Info-Seite auf seiner Online-Präsenz, stellte die grüne Adressleiste heraus und riet seinen Website-Besuchern, sich unbedingt über die Identität einer Website zu informieren, was durch einen einfachen Klick auf die grüne Adressleiste gelingt. Für ihn ist klar, dass er nur noch EV-Zertifikaten vertraut – die 199 Euro Jahresgebühr hält er heute für eine sehr wichtige und gute Investition.

Lassen auch Sie sich beraten: dass SSL/TLS-Zertifikat nicht gleich SSL/TLS-Zertifikat ist, zeigt unser Support-Fall mit Herrn M. eindrucksvoll. Nicht nur Phishing ist eine Gefahr, die höher validierte SSL/TLS-Zertifikate reduzieren können. Es geht um den Schutz von persönlichen Daten, um Vertrauen in Ihre Online-Präsenz und damit letztlich um Umsätze. Auf unserer SSL-Zertifikate-Site finden Sie ganz unten bereits eine Online-Beratung zu SSL/TLS-Zertifikaten im Allgemeinen und die unterschiedlichen Validierungsarten im Besonderen. Auch eine virtuelle Beratung durch unseren SSL-Vergleich ist hilfreich, wenn Sie sich mit den Validierungsarten bereits befasst haben. Nichts jedoch kann eine persönliche Beratung ersetzen: sprechen auch Sie mit unserem Support-Team und lassen Sie sich individuell und bedarfsgerecht zum Schutz Ihrer Online-Präsenz beraten!