Home » News » Missbrauch von domainvalidierten SSL-Zertifikaten durch Pishing-Betrüger

Missbrauch von domainvalidierten SSL-Zertifikaten durch Pishing-Betrüger

Trotz verbesserter Sicherheitskonzepte für internationale Domainnamen setzt das Pishing zum Leidwesen der Betroffenen seinen Siegeszug weiter fort. Selbst Updates von Browserherstellern können an diesem Umstand nur geringfügig etwas ändern.

Der IT-Sicherheitsexperte und Geschäftsführer des PSW GROUP Christian Heutger macht aus aktuellen Anlass auf ein zusätzliches Problem aufmerksam und beschreibt das Vorgehen von Hackern mit gefälschten Webseiten. Weil internationalisierte Domainnamen neben Umlauten auch Buchstaben oder Zeichen aus dem chinesischen, arabischen oder kyrillischem Alphabet enthalten, sei die Gefahr besonders groß. Cyberkriminelle machen sich diese so genannte Unicode-Methode zu Nutzen und starten umfangreiche Pishing-Kampagnen.

Aufgrund der nicht zu verachtenden Gefährdungslage geht Heutger vor allem mit den Webhostern hart ins Gericht. Den Betrügern würde es laut dem IT-Sicherheitsexperten denkbar einfach gemacht, ein spezielle SSL/TLS-Zertifikat zu erhalten. Nahezu jeder Webhoster vergibt passend zum Hostingpaket ein kostenloses SSL-Zertifikat. Hierbei handelt es sich in der Regel um ein domainvalidiertes SSL-Zertifikat, welche ohne weiter Überprüfung erhältlich ist.

Nach Auffassung des PSW-GROUP-Geschäftsführers seien so genannte OV- sowie EV-Zertifikate die bessere Wahl für Betreiber einer Webseite. Lediglich für kleine Blogs oder für das Internet selbst biete die Domainvalidierung einen ausreichend hohen Schutz. Für den Austausch von personenbezogenen Daten sollten die jeweiligen Domains laut Heutger auf eine Organisationsvalidierung (OV) oder Extended-Validation-Zertifikat (EV) ausweichen.

Auf diese Weise können etwas die Besucher einer Webseite sicher feststellen, dass die auf der gewünschten und nicht auf einer gefälschten Internetseite gelandet sind. Darüber hinaus beinhaltet sowohl das EV- als auch das OV-Verfahren neben einem Domaincheck eine Identitätsprüfung. Dabei wird sichergestellt, dass der Antragsteller auch wirklich bei der angegebenen Organisation angestellt ist.