151016

Der neueste Trick: Phishing-Site mit SSL-Lizenz

15.02.2006 | 16:14 Uhr |

Sollte sich dies durchsetzen, haben selbst argwöhnische Internet-Nutzer kaum noch eine Chance, echte Websites von betrügerischen zu unterscheiden: In den USA wurde nun der mutmaßlich erste Fall einer Phishing-Site bekannt, die mit einer SSL-Lizenz ausgerüstet war.

Gebetsmühlenartig werden die Tipps wiederholt, die Anwender vor Phishing-Sites schützen sollen. Dazu gehört unter anderem auch, dass auf das Schloss-Symbol geachtet werden soll, das über eine gültige SSL-Lizenz Auskunft gibt. Eigentlich ist dies ein Zeichen für eine vertrauenswürdige Site, denn diese Lizenzen bekommt man nicht so ohne weiteres - eigentlich. Denn in den USA ist nun die mutmaßlich erste Phishing-Site aufgetaucht, die über eine SSL-Lizenz verfügte und es so selbst misstrauischen Zeitgenossen beinahe unmöglich machte, den Betrug zu entdecken. Dies berichtet das Internet Storm Center (ISC).

Konkret betroffen war das Kreditinstitut "Mountain America". In einer Mail wurden Empfänger aufgefordert, ihre Kreditkarteninformationen zu aktualisieren, ansonsten würde diese gesperrt. Und auch der Link erschien auf den ersten Blick nicht ungewöhnlich, er führte auf die (mittlerweile abgeschaltete) Website www.mountain-america.net. Dort empfing Anwender das für Sicherheit stehende Schloss-Symbol.

Ein Klick darauf offenbarte, dass der Betreiber der Site über eine offizielle SSL-Lizenz verfügt. Weiteren Infos aus dem Zertifikat (das sich wohl 99 Prozent aller Anwender kaum ansehen würden) war zu entnehmen, welchen Organisationen die Lizenz erteilt wurde. Eine dieser Web-Adressen führte zu dem Unternehmen "Choicepoint", das wiederum bestätigte, dass die betreffende Website einer Firma namens "Mountain America" gehört, die in Salt Lake City ansässig sein soll - dort hat auch die echte Bank ihren Sitz. Und schon hatte die Falle zugeschnappt.

Das ISC hat daraufhin bei Equifax/Geotrust, die für die Vergabe der SSL-Lizenz zuständig waren, nachgefragt, was man denn alles benötigt, um an eine solche Lizenz zu kommen. Kurz gesagt: Einfach ist es nicht. Es werden eine Reihe offizieller Dokumente einer Vielzahl von Behörden benötigt, die sich nicht so ohne weiteres aus dem Ärmel schütteln lassen. Doch offensichtlich hat es ein Betrüger geschafft, bei der Lizenzvergabe zu tricksen.

Und laut ISC ist Choicepoint kaum nützlich, um die Echtheit einer Lizenz zu prüfen, denn sobald ein Unternehmen eine SSL-Lizenz von Equifax/Geotrust erhält, wird es automatisch als geprüft auch bei Choicepoint gelistet, so das ISC.

Bleibt zu hoffen, dass es sich bei dem beschriebenen Vorgang um einen Einzelfall handelt, denn sollte dies Schule machen, dürfte das Vertrauen der Anwender in den E-Commerce als solches in seinen Grundfesten erschüttert werden.

0 Kommentare zu diesem Artikel
151016