Phishing trotz gültiger SSL-Zertifikate
Leider gibt es schlechte NEWS. Nach Angaben des Internet Storm Centers (ISC) haben die Online-Betrugsversuche in den USA eine völlig neue Qualität erreicht, um Anwendern noch überzeugendere Phishing-Seiten zu präsentieren. So wird im Artikel "Phollow the Phlopping Phish" ein Fall geschildert, bei der die Betrüger extra dafür eine Domain registrierten, um Kunden der Bank Mountain America in die Falle zu locken. Die Adresse mit http://www.mountain-america.com sah relativ unverdächtig aus, denn die ordnungsgemäße Adresse lautet http://www.mtnamerica.com
Und das neue an dieser Phishing-Mache ist: Die Phisher haben ihren Webserver mit einem gültigen SSL-Zertifikat ausgestattet.
Besucher dieser Seiten konnten somit selbst nach einer genauen Prüfung des Zertifikates nicht zweifelsfrei feststellen, dass sie auf einer Phishing-Seite gelandet waren. Alle im Zertifikat angegebenen Daten waren offensichtlich korrekt und auch Schreibfehler waren wohl nicht enthalten. Selbst eine Zusatzprüfung der Identität über den Dienstleister ChoicePoint, nach eigenen Angaben der Marktführer in den USA, für die Überprüfung von Identitäten, bestätigte diese Echtheit der Seite. Laut ChoicePoint war somit diese Domain definitiv auf Mountain America in Salt Lake City, dem Stammsitz der Bank, registriert.
Nun kommt es aber noch härter: ChoicePoints Daten stammten vom Zertifikatsaussteller Equifax, einem Reseller von GeoTrust, der auch bereits das SSL-Zertifikat herausgab. Wie es zu der Fälschung kommen konnte, ist aber noch völlig unklar. Auf Nachfrage bekam das ISC die Antwort, dass für einen Zertifikatsantrag mehrere Dokumente erforderlich seien. Unter anderem würden amtliche Belege wie Gewerbescheine, Auszüge aus den Handelsregistern und dergleichen gefordert. Dass nun aber auch Betrüger die Prüfungsprozedur positiv abgeschlossen haben, ist gerade für GeoTrust besonders peinlich.
Noch im April 2005 bemängelte gerade dieser Dienstleister die laschen Prüfungsprozesse vieler anderer Zertifizierungsstellen und insbesondere deren Subunternehmer und Reseller um sich selbst entsprechend ins richtige Licht zu rücken. Zweifelsohne war dieser Dienstleister bisher ohne Fehl und Tadel.
Damit zeigt sich leider einmal mehr, dass auch Zertifikate nicht der Weisheit letzter Schluss sein können, um Anwender vor Betrügern zu schützen. Ein Zertifikat bindet im Regelfall ohnehin nur einen öffentlichen Schlüssel an eine Identität, aber es flößt Vertrauen ein. Ob die dahintersteckende Person oder Firma vertrauenswürdig ist, lässt ein SSL-Zertifikat aber tatsächlich offen.
Ein Dammbruch stellt der neue Fall aber wohl dennoch nicht dar, wenn Anwender weiterhin nur die bereits bekannten Adressen ihrer Banken per Bookmark besuchen. Als zusätzliche Maßnahme sollten die Banken die Fingerprints ihrer Zertifikate veröffentlichen, damit im Zweifelsfall ein Vergleich möglich ist. Allerdings ist damit zu rechnen, dass ein großer Teil der Anwender damit deutlich überfordert sein dürfte.
[Blockierte Grafik: http://images.dshield.org/images/isc_header_logo.gif]
Phollow the Phlopping Phish, Artikel vom ISC: http://isc.sans.org/diary.php?storyid=1118
Quellen: http://www.heise.de Funki