Gebetsmühlenartig werden die Tipps wiederholt, die Anwender vor Phishing-Sites schützen sollen. Dazu gehört unter anderem auch, dass auf das Schloss-Symbol geachtet werden soll, das über eine gültige SSL-Lizenz Auskunft gibt. Eigentlich ist dies ein Zeichen für eine vertrauenswürdige Site, denn diese Lizenzen bekommt man nicht so ohne weiteres - eigentlich. Denn in den USA ist nun die mutmaßlich erste Phishing-Site aufgetaucht, die über eine SSL-Lizenz verfügte und es so selbst misstrauischen Zeitgenossen beinahe unmöglich machte, den Betrug zu entdecken. Dies berichtet das Internet Storm Center (ISC).
Konkret betroffen war das Kreditinstitut "Mountain America". In einer Mail wurden Empfänger aufgefordert, ihre Kreditkarteninformationen zu aktualisieren, ansonsten würden diese gesperrt. Und auch der Link erschien auf den ersten Blick nicht ungewöhnlich, er führte auf die (mittlerweile abgeschaltete) Website www.mountain-america.net. Dort empfing Anwender das für Sicherheit stehende Schloss-Symbol.
Zweifelhafte Lizenz
Ein Klick darauf offenbarte, dass der Betreiber der Site über eine offizielle SSL-Lizenz verfügt. Weiteren Infos aus dem Zertifikat (das sich wohl 99 Prozent aller Anwender kaum ansehen würden) war zu entnehmen, welchen Organisationen die Lizenz erteilt wurde. Eine dieser Webadressen führte zu dem Unternehmen "Choicepoint", das wiederum bestätigte, dass die betreffende Website einer Firma namens "Mountain America" gehört, die in Salt Lake City ansässig sein soll - dort hat auch die echte Bank ihren Sitz. Und schon hatte die Falle zugeschnappt.
Das ISC hat daraufhin bei Equifax/Geotrust, die für die Vergabe der SSL-Lizenz zuständig waren, nachgefragt, was man denn alles benötigt, um an eine solche Lizenz zu kommen. Kurz gesagt: Einfach ist es nicht. Es werden eine Reihe offizieller Dokumente einer Vielzahl von Behörden benötigt, die sich nicht so ohne weiteres aus dem Ärmel schütteln lassen. Doch offensichtlich hat es ein Betrüger geschafft, bei der Lizenzvergabe zu tricksen.
Und laut ISC ist Choicepoint kaum nützlich, um die Echtheit einer Lizenz zu prüfen, denn sobald ein Unternehmen eine SSL-Lizenz von Equifax/Geotrust erhält, wird es automatisch als geprüft auch bei Choicepoint gelistet, so das ISC.
Bleibt zu hoffen, dass es sich bei dem beschriebenen Vorgang um einen Einzelfall handelt, denn sollte dies Schule machen, dürfte das Vertrauen der Anwender in den E-Commerce in seinen Grundfesten erschüttert werden. (PC-Welt/mja)
Links zum Thema IT-Sicherheit |
Angebot |
---|---|
Bookshop |
|
eBooks (50 % Preisvorteil) |
|
Software-Shop |