Phishing-Site mit SSL-Lizenz

Zweifelhafte Lizenz

Ein Klick darauf offenbarte, dass der Betreiber der Site über eine offizielle SSL-Lizenz verfügt. Weiteren Infos aus dem Zertifikat (das sich wohl 99 Prozent aller Anwender kaum ansehen würden) war zu entnehmen, welchen Organisationen die Lizenz erteilt wurde. Eine dieser Webadressen führte zu dem Unternehmen "Choicepoint", das wiederum bestätigte, dass die betreffende Website einer Firma namens "Mountain America" gehört, die in Salt Lake City ansässig sein soll - dort hat auch die echte Bank ihren Sitz. Und schon hatte die Falle zugeschnappt.

Das ISC hat daraufhin bei Equifax/Geotrust, die für die Vergabe der SSL-Lizenz zuständig waren, nachgefragt, was man denn alles benötigt, um an eine solche Lizenz zu kommen. Kurz gesagt: Einfach ist es nicht. Es werden eine Reihe offizieller Dokumente einer Vielzahl von Behörden benötigt, die sich nicht so ohne weiteres aus dem Ärmel schütteln lassen. Doch offensichtlich hat es ein Betrüger geschafft, bei der Lizenzvergabe zu tricksen.

Und laut ISC ist Choicepoint kaum nützlich, um die Echtheit einer Lizenz zu prüfen, denn sobald ein Unternehmen eine SSL-Lizenz von Equifax/Geotrust erhält, wird es automatisch als geprüft auch bei Choicepoint gelistet, so das ISC.

Bleibt zu hoffen, dass es sich bei dem beschriebenen Vorgang um einen Einzelfall handelt, denn sollte dies Schule machen, dürfte das Vertrauen der Anwender in den E-Commerce in seinen Grundfesten erschüttert werden. (PC-Welt/mja)

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner