Sicheres Phishing mit SSL

Falsche Bank-Website mit SSL-Zertifikat. Das Internet Storm Center (ISC) weist auf einen Phishing-Angriff neuer Qualität hin. Die Angreifer zielen auf Kunden der Bank "Mountain America" ab und warten auf ihrer eigenen Website mit einem gültigen SSL-Zertifikat auf, das auf den Namen der Bank und ihren Firmensitz ausgestellt war.

15. Februar 2006 um 11:43 Uhr / Jens Ihlenfeld

23 Kommentare News folgen (öffnet im neuen Fenster)

Zwar findet sich die Website unter einer falschen URL, doch die verwendete Domain mountain-america.net klingt sehr nach dem Original. Vor allem aber das von Equifax/GeoTrust ausgestellte Zertifikat wiegt die Opfer in trügerischer Sicherheit, so das ISC(öffnet im neuen Fenster) .

Es stellt sich also die Frage: Wie konnten die Betrüger an ein gültiges SSL-Zertifikat kommen, das auf den Namen der Bank ausgestellt wurde? Laut Equifax/GeoTrust sind umfangreiche, bestätigte Dokumente dafür notwendig und auch eine offizielle Bestätigung werde eingeholt, bevor ein Zertifikat ausgestellt werde, doch das reichte in diesem Fall offenbar nicht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Bürosachbearbeiterinnen / Bürosachbearbeiter (m/w/d) im Facility Management Auswärtiges Amt, Berlin (öffnet im neuen Fenster)

Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)

Professur (m/w/d) Cloud-Technologien und Softwareentwicklung Technische Hochschule Ingolstadt, Ingolstadt (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Freeze-Dry Foods GmbH, Greven (öffnet im neuen Fenster)

IT-Systemadministratorin / IT-Systemadministrator (m/w/d) Stadt Syke, Syke (öffnet im neuen Fenster)

Werkstudent*in Analytics Erneuerbare Energien KlimaInvest Green Concepts GmbH, Hamburg (öffnet im neuen Fenster)

IT-Administrator (m/w/d) ZIEGRA Eismaschinen GmbH, Isernhagen (öffnet im neuen Fenster)

IT System Manager (m/w/d) PEDAX GmbH, Bitburg (öffnet im neuen Fenster)

Bleibt unter dem Strich festzuhalten: Die SSL-Verschlüsselung allein sagt wenig aus, Links in E-Mails von Banken sollte man in jedem Fall misstrauen.

Zur Startseite 23 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Browser-Entwickler diskutieren über Sicherheit

Microsoft, Mozilla, Opera und KDE an einem Tisch. KDE-Entwickler George Staikos hat in einem Treffen mit Browser-Entwicklern von Microsoft, Mozilla und Opera Methoden erörtert, um die Sicherheit von Webbrowsern zu steigern. Konqueror wird in KDE 4 beispielsweise kein SSL Version 2 mehr unterstützen und die Adressleiste wird farbig anzeigen, ob man eine sichere oder unsichere Seite besucht, kündigte Staikos an.

Internet infiziert frisches Windows nach nur 20 Minuten

Schadhafte Software befällt ungesicherte Windows-Rechner in 20 Minuten. Schließt man einen PC mit frisch installiertem Windows-Betriebssystem an das Internet an, so wird der Rechner bereits im Schnitt nach 20 Minuten über offene Sicherheitslücken durch Würmer, Viren oder andere schadhafte Software befallen, fand das Internet Storm Center heraus. Noch vor einem Jahr war diese Zeitspanne etwa doppelt so lang und betrug rund 40 Minuten.

Relevante Themen