15.000 Lets Encrypt Zertifikate, welche “PayPal” im Namen hatten, wurden 2016 entdeckt. Die kostenlose Zertifikate werden immer öfter von Betrügern in Anspruch genommen. Unseriöse URLs zu entdecken ist teilweise sehr schwierig – HTTPS vermittelt dabei eine falsche Sicherheit.
Nur sehr wenige Lets Encrypt Zertifikate, mit PayPal im Namen, sind für legale Zwecke bestimmt!
Wertvolle Accounts, gerade die oft und gern benutzten, sind bei Kriminellen sehr beliebt. Seien es die Gmail Konten, die iTunes ID oder eben das PayPal Konto. Jeden Tag erscheinen tausende Websites, die aufgemacht sind wie das Original, nur um Accountdaten phishen zu können. Immer öfter soll Vertrauen durch falsche Sicherheit erzeugt werden. Gelingen tut das mithilfe der kostenlosen Zertifikate von LetsEncrypt.

Schätzungsweise wurden 35.000 SSL Zertifikate für betrügerische Zwecke verwendet. Die Masche hat dabei erst 2016 richtig Fahrt aufgenommen. Nicht jeder der PayPal in seiner Domain hat, ist direkt ein Krimineller. Von 988 untersuchten Zertifikaten verfolgten 4 (!) Domains einen legalen Zweck.
Die Safe Browsing Funktion des Chrome Browsers, welche auch von Firefox, Opera etc. in Anspruch genommen wird, hilft dabei vielen Menschen nicht in die Falle zu laufen. Die meisten der Phishing Seiten landen nach zwei Tagen auf der entsprechenden Blacklist.
Ca. 52% der Phishing Websites landen sogar noch schneller auf der Liste mit Websites, vor denen gewarnt wird. Oft verwenden die Angreifer eine hochverschachtelte Subdomain Strategie um den Benutzer zu verwirren. Dabei ist ein genaueres Hinsehen nötig, damit auch Laien den Betrug erkennen können.
In diesem Fall ist die linke Version die einzig seriöse.
Vertiefen Sie Ihr Wissen im Bereich der Informationssicherheit!
Lets Encrypt Zertifikate, dessen Missbrauch und meine Meinung!
Eine Technologie selbst kann schonmal nicht schlecht oder gut sein. Das zeigt die Diskussion rund ums Darknet und der Anonymität im Internet grundsätzlich – aber eben auch die jetzige Statistik. Zertifikate werden von Lets Encrypt dabei stets automatisiert generiert. Eine manuelle Bearbeitung, wie es bei teuren Zertifikaten nötig und teilweise vorgeschrieben ist, kann die Organisation nicht umsetzen. Die Phishing Websites selbst sind nicht lange genug online um einen großflächigen Schaden anrichten zu können – doch der ein oder andere Benutzer wird sich sehr über die gestohlenen Accountdaten wundern und ärgern.
Am Ende des Tages ist jedoch der Benutzer am Drücker. Die nötige Sensibilisierung ist nötig, damit der Benutzer versteht wie eine URL aufgebaut ist – und wie man sie zweckentfremden kann. Gerade bei wichtigen Diensten sollte man niemals über einen Link in der Email gehen.
Weitere Informationen und Quellen
[1] 14,766 Let’s Encrypt SSL Certificates Issued to PayPal Phishing Sites (bleepingComputer)