Vorsicht bei verschlüsselten Seiten

Hacker werden immer raffinierter und tarnen ihre Phishingseiten mit richtigen SSL-Zertifikaten von Let’s Encrypt

Datum
5. April 2017
Autor

Es wird immer schwieriger, Phishingattacken zu erkennen. Inzwischen beantragen die Hacker sogar X.509-Zertifikate für verschlüsselte Websites, um ihre Opfer in falscher Sicherheit zu wiegen. Wenn die Mitarbeitenden für diese Gefahren nicht sensibilisiert sind, helfen die besten technischen und organisatorischen Sicherheitsmaßnahmen nicht so viel wie erhofft und erwartet.

Einer legt vor, der andere zieht nach

Es ist ein Rennen, das wohl niemals enden wird: Cyberkriminelle entwickeln neue Angriffsvarianten, Firmen schützen ihre Infrastrukturen, Prozesse und Informationen wirksamer, Cyberkriminelle entwickeln ihre Methoden weiter, die Firmen rüsten auf, … In diesem Wettrüsten beachten viele Sicherheitsverantwortliche den einfachsten und schnellsten Weg zu wenig, in ein Netzwerk einzudringen und Informationen zu stehlen oder Dateien zu verschlüsseln: die Mitarbeitenden (siehe «Der Mensch als Schwachstelle im System»). Weil Hacker gerne den Weg des geringsten Widerstands gehen, setzen sie oft auf Social Engineering statt auf aufwändige technische Attacken.

Trau, schau, wem

Eigentlich sollten heute alle wissen, dass sie nicht auf einen Link in einer E-Mail klicken sollten, ohne den Absender zu hinterfragen und den Link kritisch zu prüfen. Sollte man meinen. Phishing funktioniert immer noch. Einerseits, weil viele Mitarbeitende zu wenig für das Risiko sensibilisiert sind, andererseits, weil die Hacker immer raffinierter vorgehen. Sie tarnen ihre Links, verschleiern die URL und bauen die Websites bekannter Firmen, meist Banken, täuschend ähnlich nach. Auf den ersten Blick sind die gefälschten Internetauftritte kaum von den Originalwebsites zu unterscheiden. Am besten erkennt man die Attacken noch am schlechten Deutsch in der E-Mail …

In wenigen Minuten zum Zertifikat

Jetzt gehen die Hacker einen Schritt weiter. Sie missbrauchen SSL-Zertifikate, die ja das Internet sicherer machen sollten, um ihre Phishingseiten noch besser zu tarnen. Besonders beliebt ist die Ende 2015 gegründete Zertifizierungsstelle Let’s Encrypt («Lasst uns verschlüsseln») in den USA. Sie stellt kostenlose X.509-Zertifikate für Transport Layer Security (TLS) aus. Jeder kann ein Zertifikat für verschlüsselte Websites beantragen, der automatisierte Prozess – erstellen, validieren, signieren, einrichten – dauert nur wenige Minuten. Sobald eine Seite zertifiziert ist, erscheint das grüne Schlosssymbol in der Adresszeile des Browsers als Zeichen für eine sichere Verbindung.

15.720 Zertifikate für „PayPal“-Seiten

Das nutzen die Hacker schamlos aus, wie der US-amerikanische Sicherheitsexperte Vincent Lynch berichtet. Seit Januar 2016 hat Let’s Encrypt beispielsweise 15.270 Zertifikate (Stand Ende März 2017) für Phishingseiten mit dem Stichwort «PayPal» ausgestellt. Die Hacker locken ihre Opfer auf eine gefälschte Website, fordern sie dort auf, ihre Zahlungsdaten zu erfassen, und wiegeln sie mit gefälschten PayPal-Fenstern mit irreführendem grünen Schlosssymbol in falscher Sicherheit. PayPal, das gerade für kleinere Onlinezahlungen gerne genutzt wird, ist ein beliebtes Ziel: 99 Prozent aller Anträge mit dem Stichwort «PayPal» sollen Hacker eingereicht haben.

Wer ist schuld?

Da stellt sich natürlich die Frage, warum das überhaupt möglich ist. Let’s Encrypt, ein Dienst der gemeinnützigen amerikanischen Stiftung Internet Security Research Group, will verschlüsselte Verbindungen im Internet zum Normalfall machen. Darum kann jeder in wenigen Minuten ein SSL-Zertifikat beantragen und einrichten. Der Dienst hat vom ersten Tag an klar betont, die Websites nicht zu bewerten, für die ein Zertifikat ausgestellt wird. Let’s Encrypt stellt sich auf den Standpunkt, dass eine Zertifizierungsstelle schlecht aufgestellt sei, um Phishing- oder Malwareangriffe abzuwehren. Dafür fehle ihnen schlicht und einfach die Einsicht in den Inhalt der Seiten.

Was können Sie tun?

Sie können Hardware und Software auf dem neuesten Stand halten. Sie können Sicherheitsmaßnahmen einführen und aufeinander abstimmen. Sie können ein Managementsystem für Informationssicherheit einführen, um Infrastrukturen, Prozesse und Informationen umfassend und strukturiert zu schützen. Dazu gehört auch, Mitarbeitende für die Gefahren von Phishing zu sensibilisieren. Mit diesen Maßnahmen können Sie schon viel verbessern:

  • Hinterfragen Sie die Absender von E-Mails, die Sie auffordern, auf einen Link zu klicken.
  • Prüfen Sie jeden Link, auf den Sie klicken sollen, gründlich und kritisch – und zwar nicht die URL in der E-Mail, sondern die in der Adresszeile des Browsers. Richtig verschlüsselte Verbindungen
    • beginnen mit https:// und
    • haben ein grünes Schlosssymbol.
  • Sogenannte Extended-Validation-Zertifikate bieten zusätzlichen Schutz, weil die Identität des Antragstellers überprüft und in der Adresszeile angezeigt wird.
  • Achten Sie auf die Schreibweise der URL, zum Beispiel „PajPal“ statt „PayPal“.
  • Im Zweifelsfall können Sie die URL (https://www.paypal.com) von Hand in die Adresszeile tippen und sich anmelden. Falls die URL in der E-Mail in Verbindung mit der legitimen Seite steht, sollten Sie sich nicht anmelden müssen, wenn Sie auf den Link in der E-Mail klicken.
  • Nutzen Sie, wann immer möglich, Zweifaktorauthentifizierung. Viele Dienste wie PayPal, Amazon oder eBay verschicken beispielsweise ein Token via SMS oder App als zweites Authentifizierungsmerkmal an.

Fazit

Wie so oft liegt die Verantwortung bei den Firmen und Mitarbeitenden. Technische Maßnahmen sollten die erste Verteidigungslinie bilden. Gegen Phishingangriffe wirkt Technik jedoch nur beschränkt. Setzen Sie an der schwächsten Stelle an und sensibilisieren Sie ihre Mitarbeitenden für das Risiko. Wenn Sie dieses weit offene Tor in Ihr Netzwerk schließen, haben Sie schon viel erreicht. Die Spalte, die dann noch offen ist, schließen Sie mit technischen und organisatorischen Sicherheitsmaßnahmen. Dazu gehört als Fundament ein ISMS.