Das vertraute grüne Schloss am Anfang von Webadressen im Browser, die mit „https“ beginnen, steht für Sicherheit beim Datenaustausch bei der Internetnutzung. „S“ für „secure“ oder „sicher“ im Hypertext Transfer Protocol Secure.

Beispiel eines grünen HTTPS-Sicherheitsschlosses

Darauf, dass der Datenaustausch verschlüsselt ist, achten Internetnutzer seit Jahren bei Besuch vieler Webseiten. Es ist ihnen mühevoll eingetrichtert worden, dass dem grünen Schloss-Symbol in der Adressleiste des Webbrowsers vertraut werden kann. Diese Zeiten sind vorbei. Das grüne Schloss kann auch Gefahr bedeuten, wie auch das FBI nun in einer öffentlichen Bekanntmachung warnt.

Demnach nutzen Krimimelle das Vertrauen der Internetnutzer hier neuerdings gezielt aus. Sie nutzen eigentlich das blinde Vertrauen der allermeisten Menschen in den Sicherheitsstandard aus. Das FBI erläutert, dass immer öfter folgendes beobachtet wird: Kriminelle versenden TLS-Zertifikate von Webseiten, die vertrauenswürdige Unternehmen oder E-Mail-Kontakte suggerieren. Gleichzeitig empfiehlt das FBI auch, die Authentizität einer empfangenen E-Mail infrage zu stellen. Insbesondere wenn sie in irgendeiner Weise verdächtig erscheint. Der Empfänger sollte eventuell telefonisch geprüft werden oder über eine separate E-Mail bestätigt werden. Auch das sorgfältige Lesen der Mitteilung kann vor Cybergefahren schützen. Denn, viele solcher E-Mails bestehen aus seltsam falschen Formulierungen und Rechtschreibfehlern oder auch falschen Domainnamen.

Es sei nichts Neues, dass Kriminelle diese Art von Phishing-Kampagnen nutzen, sagte Kevin Bocek, Vizepräsident bei Venafi. Er erläuterte weiter:

„2017 entdeckten Forscher über 15.000 Zertifikate mit dem Wort PayPal, die bei Angriffen verwendet wurden. Seitdem ist klar, dass Cyberkriminelle eine regelrechte Lieferkette im Dark Web haben. So versorgen sie sich mit vermeintlich vertrauenswürdigen TLS-Zertifikaten. Solchen, die dann zum Einsatz kommen bei allen Arten von bösartigen Angriffen auf Internetnutzer.“

Laut Bocek haben die Forscher bereits eindeutige Beweise für solche im Dark Web verkauften TLS-Zertifikate gefunden. Die Preise für sehr vertrauenswürdige Zertifikate kosten dabei sogar mehr als 1.000 US-Dollar.

Das Problem, so das FBI und auch die Sicherheitsexperten sieht so aus: Viele Internetnutzer heute leider davon ausgehen, dass eine verschlüsselte Webseite sie vor jeder Art Sicherheitsgefahr schützt. Craig Young, Forscher bei Tripwire, sieht durchaus den Konflikt zwischen dem Sicherheitsgefühl der Verbraucher und dem Schutz vor gefährlichem Übervertrauen:

„Im Laufe der Jahre gab es viele Wortgefechte zur Online-Sicherheit. Aber die Sicherheit von Webseiten kann auf verschiedenen Ebenen mit sehr unterschiedlichen Auswirkungen diskutiert werden“,

sagte Young. Er erklärt das Dilemma so:

„Leider gibt es immer noch keine solide Lösung, um die Öffentlichkeit dazu zu befähigen, Phishing oder Betrugsseiten mit 100%iger Effektivität zu erkennen.“

Eine Lösung dazu hat Young derzeit leider nur im Ansatz, sozusagen als Zukunftswunsch:

„Andere Technologien könnten schließlich zusätzliche Waffen gegen diese kriminellen Machenschaften bieten. Auf lange Sicht ist die beste verfügbare Lösung hierfür wahrscheinlich die Verwendung neuerer Standards wie WebAuthN. Damit kann verhindert werden, dass naive Benutzer versehentlich Anmeldeinfos an einen Phisher weitergeben.“

Bocek dagegen sieht andere Schlüsselfaktoren im Kampf gegen die Verbreitung dieser „vertrauenswürdigen“ Zertifikate: verbesserte Sichtbarkeit und Transparenz. Das FBI empfiehlt lieber keine neuen Technologien, sondern eine verhaltensbasierte Abwehr von Phishing-Angriffen. Es empfiehlt,

„die Absicht von E-Mail-Nachrichten infrage zu stellen, die Authentizität von Nachrichten zu bestätigen, bevor sensible Informationen weitergegeben werden und nach Rechtschreibfehlern oder inkonsistenten Domaininfos zu suchen.“

Generell, so das FBI, sollte Webseiten nicht deshalb mehr vertraut werden, nur weil sie ein grünes Schloss-Symbol anzeigen.

SANS Sicherheits-Experte John Pescatore beleuchtet die Angelegenheit aus anderer Sicht:

Die Realität, sagt er, sei, dass es an fehlenden Investitionen in die Information der Webseitennutzer durch die Webseitenbetreiber liegen würde. Dadurch wüssten nur sehr wenige Menschen Bescheid über die genauen Farben oder Symbole im Browser. Weder bemerken sie diese, geschweige denn wüssten sie, was sie bedeuten würden. Seine Kollegen Ed Skoudis und Johannes Ulrich hielten eine SANS Threat Keynote Rede auf der diesjährigen RSA-Konferenz. Sie wiesen darauf hin, wie Angreifer betrügerische Zertifikate und Abwehrmaßnahmen erhalten können.

SANS Webcast zum Thema: SANS Top New Attacks and Threat Report
Artikel von darkreading.com, 11.06.2019: FBI Warns of Dangers in ‚Safe‘ Websites
Artikel von ic3.gov, 10.06.2019: Cyber Actors Exploit ‚Secure‘ Websites In Phishing Campaigns

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0